Violare il vostro frigo: la sicurezza di Internet of Things

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Darknet

Una delle ultime mode è IoT, o il fenomeno di Internet of things, del quale si parla da un po’(soprattutto da quando è iniziata la discussione dell’IPv6); IoT connette oggetti fisici a Internet e fornisce loro una sorta di IP (tramite NAT o indirizzo IPv6).

Ciò consente di controllare le luci (accensione/spegnimento e attenuazione) tramite telefono, o qualsiasi altra cosa che possa essere collegata (accendere il bollitore, controllare la temperatura del frigo, riscaldare il forno, ecc).

Le possibilità sono praticamente infinite.

Internet of Things Security

Le questioni che IoT suscita sono, ovviamente, una nuova serie di problemi di sicurezza: se tutto è connesso a Internet, è anche incline a essere violato, oggetto di spam, DDoS e generalmente fxttuto.

Immaginate che il vostro allarme sia Internet savvy e qualcuno effettui un DDoS sul quadro di controllo: non potrete più entrare in casa, a meno che non paghiate una sorta di riscatto. E questo accadrà.

Chi è convinto che l’emergente Internet of Things (IOT) diverrà un parco giochi per hacker, tira acqua al proprio mulino con la notizia di venerdì che alcuni ricercatori hanno scoperto una vulnerabilità nelle lampadine Wi-Fi/mesh di rete.

I ricercatori della Context Information Security hanno scoperto che le lampadine a LED del produttore LIFX – progettate per essere controllate da uno smartphone – hanno delle vulnerabilità di sicurezza. Ottenendo l’accesso alla lampadina master, Context è stata in grado di controllare tutte le lampadine collegate e rivelare le configurazioni di rete dell’utente.

Context ha lavorato con LIFX per sviluppare una patch per il bug prima di rilasciare un fix sotto forma di un aggiornamento del firmware. Simon Walker di LIFX ha dichiarato: “Prima della patch, nessun altro tranne Context aveva esposto questa vulnerabilità, molto probabilmente a causa della complessità delle attrezzature e del reverse engineering necessari.”

Per fortuna IoT è una cosa abbastanza nuova, quindi non molti hacker malintenzionati lo stanno esplorando, inoltre, per ora, non c’è nessun reale valore monetario nel violare una lampadina. Piuttosto fastidioso vero? Business critical? No.

Questo, naturalmente, a patto che la lampadina non faccia parte della vostra LAN aziendale e violarla dia accesso alla rete interna…allora diventa una storia completamente diversa.

La scoperta di Context è parte della ricerca in corso nella sicurezza di Internet of Things (IoT), che comprende i parchimetri, frigoriferi connessi a internet e molto altro ancora. Molti di questi componenti, secondo Context, sono stati messi insieme senza pensare alla sicurezza di base.

“È chiaro che nella corsa per montare sul carrozzone dell’IoT, la sicurezza non è una priorità così alta come dovrebbe essere in molti dispositivi connessi”, ha detto Michael Jordan, responsabile della ricerca presso Context. “Abbiamo trovato vulnerabilità anche in altri dispositivi connessi a Internet, dai sistemi di memorizzazione domestica e stampanti, ai monitor e giocattoli per bambini.”

Quindi sì, da quando IoT è diventata più di una ‘cosa’ ed è sempre più adottata, la sicurezza di Internet of Things è importante e potrebbe benissimo diventare il prossimo parco giochi per hacker.

Fortunatamente questo caso è più che altro una condivisione di ricerca/conoscenza piuttosto che qualcosa di rischioso, o un exploit zero-day di un dispositivo IoT. Il prossimo anno, o giù di lì, immagino che incidenti del genere accadranno più spesso.

Fonte: The Register

Fonte: Hacking Your Fridge – Internet of Things Security


Posted in Darknet, Traduzioni inglese-italiano and tagged , by with no comments yet.

Cybertruffatori generano mutanti autoreplicanti che rubano le vostre coordinate bancarie

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Cybercrooks Breed Self-Cloning Mutant That Steals Your Bank Details Cybertruffatori hanno creato un client botnet che incorpora funzionalità simili a un worm, permettendone una rapida diffusione.

Seculert avverte che l’ultima versione del trojan ruba informazioni Cridex (AKA Geodo) include un metodo d’infezione ad autodiffusione.

I PC infetti della botnet scaricano un ceppo secondario di malware – un worm email – dai server command and control. Quel worm invia un’email con i link per scaricare un file ZIP contenente il Trojan Cridex primario.

Seculert ha scoperto che il worm email contiene circa 50.000 credenziali di account SMTP rubati, compresi i relativi server SMTP. Il bot, poi, utilizza queste credenziali per colpire per lo più bersagli tedeschi con l’invio di messaggi email contraffatti, dissimulati come messaggi provenienti da banche e organizzazioni finanziarie tedesche.

Maggiori informazioni.

Fonte: The Register

Fonte: Cybercrooks Breed Self-Cloning Mutant That Steals Your Bank Details


Posted in DFI News, Traduzioni inglese-italiano and tagged by with no comments yet.

Sì, la fotocamera del tuo smartphone può essere usata per spiarti…

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Naked Security

smartphone-camera-170 Sì, le fotocamere dello smartphone possono essere usate per spiarvi, se non fate attenzione.

Un ricercatore afferma di aver scritto un’app Android che scatta foto e video con una fotocamera dello smartphone anche quando non è attiva: uno strumento piuttosto utile a una spia, o a un inquietante stalker.

Lo studente universitario Szymon Sidor ha affermato in un post sul blog e in un video che la sua app Android utilizza una piccola schermata di anteprima, solo 1 pixel x 1 pixel, che consente alla fotocamera di rimanere in esecuzione in background.

Ora che la maggior parte degli smartphone sono dotati di una fotocamera, (o due) e il loro utilizzo è popolare grazie ad app come Instagram che incoraggiano la condivisione di foto, è un po’ sorprendente che ci sia voluto così tanto affinché gli hacker trovassero modi subdoli per sfruttarle.

Spyware di questo tipo girano da parecchio su Windows: il malware chiamato Blackshades, ad esempio, che gli hacker hanno usato per registrare in segreto le vittime con la webcam del proprio computer.

Ma questo sembra essere il primo caso conclamato di un’applicazione Android che può effettuare un hijack di una fotocamera di uno smartphone, o di un tablet, per lo stesso subdolo scopo.

Secondo Sidor, il sistema operativo Android non consente alla fotocamera di registrare senza effettuare un’anteprima: ecco come Sidor ha scoperto di poter fare un’anteprima così piccola da risultare effettivamente invisibile ad occhio nudo.

Sidor ha dimostrato come funziona l’app in un video, con il suo smartphone Nexus 5.

Il risultato è stato incredibile quanto spaventoso: il pixel è praticamente impossibile da individuare sullo schermo del Nexus 5 (anche se si sa dove guardare)!
Inoltre, anche se si spegne lo schermo, è ancora possibile scattare foto, a patto che il pixel sia ancora lì.

“Permettere alla fotocamera di funzionare in background, senza un indicatore nella barra di notifica, è “imperdonabile” e dovrebbe essere risolto dal team Android di Google”, ha commentato Sidor nel post del suo blog.

Spie Selfie

smartphone-spycam-170 Ci sono altre app spyware per Android facilmente disponibili, come mSpy, che permettono agli spioni di accedere all’attività di un dispositivo, come i messaggi di testo, la localizzazione e persino effettuare registrazioni audio.

Questo è uno dei primi casi, comunque, di un’app che utilizza con successo la fotocamera dello smartphone all’insaputa dell’utente.
Ma soltanto perché questa vulnerabilità Android è qualcosa che i ricercatori hanno scoperto recentemente, non significa che altri non abbiano cercato di sfruttarla per causare danni.

Nel marzo 2014, abbiamo segnalato per Naked Security, un’app spyware per Google Glass che potrebbe fare foto senza che il display del Glass s’illumini.

Mike Lady e Kim Paterson, ricercatori laureati presso Cal Poly in California, hanno caricato su Play Store un’app spyware per Google Glass (mascherata come app per prendere appunti chiamata Malnotes).

Google ha scoperto lo spyware di Glass e l’ha tolto dal Play Store solamente quando il professore della coppia ha twittato in merito al loro esperimento di ricerca.

Forse i ricercatori hanno sbagliato a violare consapevolmente le norme degli sviluppatori di Google per offrire il loro spyware; ma è un segnale di avvertimento che anche l’onnipotente Google non può rendere completamente sicuro Google Play dalle app dannose.

Il consiglio migliore che abbiamo per gli utenti Android si applica anche in questo caso e in molti altri esempi di app dannose:

  • Attenetevi, per quanto possibile, a Google Play.
  • Evitate app che richiedano autorizzazioni di cui non hanno bisogno.
  • Considerate l’utilizzo di un Antivirus Android che analzzi automaticamente le app alla prima esecuzione.

Fonte:Yes, your smartphone camera can be used to spy on you…


Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with no comments yet.

Il Gioco ‘Watch Dogs’ piratato crea una Botnet per il mining di Bitcoin

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Darknet

Idea decisamente intelligente. Abbiamo scritto di Yahoo! che diffondeva malware per il mining di Bitcoin a gennaio, ma, da allora, non abbiamo più visto attività del genere.

Botnet per il mining di Bitcoin di Watch Dogs

Ma questa, quest’audience, vittima dell’attacco, è decisamente migliore: giocatori con GPU estremamente potenti! Tanto più che questo è uno dei giochi ‘di prossima generazione’ più inflazionati del 2014 (sì, sono in trepidante attesa per la mia PS4). Ma piratare Watch Dogs tramite un torrent del popolare gruppo warez SkidRow, potrebbe rendervi parte di una botnet per il mining di Bitcoin!

Decine di migliaia di giocatori pirati sono stati schiavizzati in una botnet Bitcoin dopo aver scaricato una copia piratata del popolare gioco Watch Dogs. Un torrent del titolo infetto, presumibilmente privato della sua protezione contro la copia, ha avuto quasi 40.000 utenti attivi (seeders e leachers) ed è stato scaricato altre 18.440 volte, il 23 maggio, da un solo sito.

I pirati hanno riferito sui forum di Internet che il pacchetto Torrent, nascosto dal popolare marchio SkidRow, aveva silenziosamente installato un miner Bitcoin insieme a una copia funzionante del gioco.

Il miner Windows girava grazie a due eseguibili installati nella cartella AppData\Roaming\OaPja e avrebbe notevolmente rallentato le macchine con prestazioni inferiori, sottraendo fino a un quarto della potenza della CPU.

ll torrent incriminato, per la maggior parte, è stato rimosso. Un’analisi deve ancora essere compiuta per determinare la posizione, o le identità degli ideatori dell’attacco.

Sembra essere un torrent estremamente popolare, quindi l’infezione potrebbe facilmente raggiungere decine di migliaia di giocatori pirata, che successivamente si trasformerebbe in una botnet per il mining di Bitcoin con decine di migliaia di utenti (un affare piuttosto redditizio, anche con l’attuale difficoltà del mining di Bitcoin).

È anche un po’ ironico che lo slogan del gioco sia “Tutto è connesso”, quindi se si pirata, ognuno è collegato..alla Botnet. E naturalmente il fatto che sia un gioco sull”hacking’, anche se non l’ho ancora giocato e le recensioni delle parti relative all’hacking non siano delle migliori.

I giocatori erano gli obiettivi scelti per i criminali del mining di Bitcoin, perché spesso usano graphical processing units (GPUs) di fascia alta e fuggono piattaforme anti-virus drena-risorse.

“Se vi capita di scaricare giochi contraffatti via Torrent, o altri servizi di condivisione P2P, è probabile che possiate diventare vittima di [un] redditizio trojan in bundle con un autentico GPU miner”, ha detto il chief strategist di BitDefender Catalin Cosoi, in merito a un passato miner Bitcoin che predeva di mira i giocatori.

“Consigliamo d’iniziare a controllare il sistema alla ricerca di segni d’infezione, soprattutto se state costantemente perdendo fotogrammi al secondo.”

Utilizzare disperse risorse di calcolo rubate è stato uno dei pochi modi con i quali gli scommettitori avrebbero potuto ottenere una liquidità decente, macinando i sempre più difficili algoritmi matematici necessari per guadagnare Bitcoin.

I criminali, negli ultimi anni, hanno introdotto con l’inganno miner Bitcoin dal calcolo intensivo per compiere una serie di attacchi orientati sia a GPU di fascia alta che a videoregistratori digitali risibilmente lenti.

Avrebbero potuto effettuare il mining di qualcos’altro: monete basate su Scrypt come Litecoin, o forse persino di X11, se l’avessero fatto, gli utenti, probabilmente, non avrebbero nemmeno notato eventuali framedrop, o le ventole delle loro GPU che giravano alla massima velocità.

Sono sinceramente sorpreso di non vedere più botnet basate sul mining di cryptocurrency, credo soltanto che non sia ancora convenzionale. E, al giorno d’oggi, hai bisogno di una buona esca per convincere così tante persone a installare malware (e superare il loro software anti-virus).

Altro motivo per cui i giocatori diventano un buon obiettivo in quanto, spesso, non usano nemmeno software AV, o lo disattivano per il massimo delle prestazioni.

Fonte: The Register

Fonte: Pirated ‘Watch Dogs’ Game Made A Bitcoin Mining Botnet


Posted in Darknet, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Denaro riciclato tramite siti di gioco d’azzardo online

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Un nuovo report di McAfee mette in luce il mondo sotterraneo del gioco d’azzardo online: identifica la proliferazione dei casinò online, un settore destinato a crescere di quasi il 30 per cento nei prossimi tre anni e come il loro utilizzo stia alimentando la criminalità informatica, facilitando il “fare soldi” tramite attività illegali.

Il gioco d’azzardo online comporta enormi volumi di transazioni e flussi di cassa che possono offuscare e mascherare il riciclaggio di denaro. I giocatori non hanno a che fare con un prodotto fisico tangibile; la valuta fisica non cambia mani. Di conseguenza, i proventi illegali possono essere riciclati piazzandoli come scommesse a un capo della transazione e ricevendo i payout come vincite all’altro capo.

Inoltre le vincite del gioco d’azzardo sono esentasse in molte giurisdizioni e questo rende le segnalazioni ufficiali ai governi impraticabili e le autorità spesso incapaci di monitorare le transazioni.

I siti di gioco d’azzardo online facilitano il riciclaggio di denaro, mentre il numero di siti non autorizzati è oltre dieci volte superiore a quello degli operatori autorizzati. Questa tendenza, combinata ai molti siti che operano nel Dark Web che sfruttano le valute virtuali, mostra l’entità della sfida per le forze dell’ordine.

Continua la lettura.

Fonte: Help Net Security

Fonte: Money Laundered through Online Gambling Sites


Posted in DFI News, Traduzioni inglese-italiano and tagged , , by with no comments yet.

App dannose possono rendere inutilizzabili i telefoni Android

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Alcuni ricercatori dicono d’aver scoperto bug nel sistema operativo Android di Google che potrebbero consentire ad app dannose d’innescare, nei dispositivi vulnerabili, una spirale senza fine di crash in loop ed eventualmente eliminare tutti i dati memorizzati.

Il ricercatore Ibrahim Balic ha scritto in un post che le app sfruttano la vulnerabilità denial-of-service di Android 2.3, 4.2.2, 4.3 e probabilmente molte altre versioni del sistema operativo. Gli autori dell’attacco potrebbero sfruttare il sottostante bug di danneggiamento della memoria, offuscando il codice d’attacco in un’app di diversa utilità, o legittima, programmata per essere attivata solamente dopo essere stata installata su una strumentazione vulnerabile. Compilando il campo Android “nomeapp” con un valore estremamente superiore a 387.000 caratteri, l’app può permettere al dispositivo d’iniziare una serie infinita di crash.

Continua la lettura

Fonte: Ars Technica

Fonte: Malicious Apps Can Make Android Phones Useless


Posted in DFI News, Traduzioni inglese-italiano and tagged by with no comments yet.

Guida alla cancellazione sicura dei dispositivi Android per il venditore super paranoide.

Il post seguente è stato tradotto per gentile concessione di Zackery Fretty

Uno qualunque dei miei amici direbbe che sono un pazzo paranoide per quanto riguarda gli utenti malintenzionati, soprattutto quando si tratta di vendere la mia vecchia elettronica. Sono il tipo di ragazzo che preferisce mettere una pietra sopra al vecchio dispositivo. Purtroppo sono anche il tipo che ama comprare i nuovi Nexus non appena escono, quindi preferisco vendere i miei vecchi dispositivi per finanziare i miei nuovi acquisti. Per poterlo fare ho dovuto trovare un modo per sentirmi tranquillo. Ora so che un modo davvero semplice è abilitare la crittografia e poi formattare. Per qualche ragione quando ho venduto il mio HTC One X la cifratura non ha funzionato e la scheda SD non era rimovibile, quindi avevo bisogno di trovare un modo per tranquillizzarmi e vendere il dispositivo, ecco perché sono giunto a questa soluzione.

Non sono sicuro al 100% ma credo che potrebbe essere necessario aver installato BusyBox/Root, o semplicemente utilizzare Android SDK (che sarà utile in seguito); ma presumo che chiunque sappia che il Ripristino dati di fabbrica del vostro dispositivo in realtà non rimuove nessun dato, sia lo stesso tipo di persona che effettuerebbe il rooting dei dispositivi Android.

Anche solo come nota a margine, non sto dicendo che questa sia la cosa più sicura al mondo; ma è quello che faccio io e che mi fa sentire abbastanza tranquillo. Ho verificato usando Recuva in modalità d’analisi profonda e non sono stato in grado di recuperare i dati da /sdcard; in ogni caso, non ho modo di confermare per la partizione /data. Sto solo ipotizzando che funzioni altrettanto bene come per la scheda SD interna.

Questo processo comprende essenzialmente due fasi

  1. Formattazione memoria
  2. Zeroing /sdcard e /data

Quindi, iniziamo…

Fase 1 – Formattazione memoria

Operazione piuttosto semplice e quando si acquista un telefono usato online, è probabile che l’altro utente abbia protetto i dati; il che, vi assicuro, non è granché. Tutto questo per dire al sistema operativo che dove una volta erano presenti i vostri dati, ora sono “scrivibili”, in modo che il sistema operativo possa scrivervi ancora. Se doveste usare uno strumento come Recuva dopo l’esecuzione del Ripristino dati di fabbrica, sarete in grado di recuperare gran parte dei file. Questo non riguarda solo Android: si applica a tutti i supporti per l’archiviazione, anche se non tanto ai media con Flash come i dischi rigidi. La ragione per cui ho usato questo come punto di partenza è informare l’SO che tutto è “disponibile” per la scrittura, che è ciò che vogliamo. Per fare questo è possibile utilizzare il recupero, o andare su Impostazioni> Backup e Ripristino> Ripristino dati di fabbrica e lasciare che l’SO faccia il suo dovere .

Fase 2 – Zeroing /sdcard e /data

Ora che abbiamo reso scrivibili tutti i dati sul dispositivo, è il momento di iniziare l’”azzeramento”. Ciò significa, essenzialmente, scrivere degli 0 sui dati che abbiamo precedentemente contrassegnato come “scrivibili”. Se qualcuno tentasse di ripristinare i dati, recupererebbe degli 0 e non i vostri dati personali. Sugli HDD più vecchi sarebbe una buona idea farlo più volte ma molti esperti hanno suggerito che un solo passaggio è sufficiente nei media con flash.

La prima cosa che vorrete fare è lanciare l’SDK di Android utilizzando la riga di comando e passare alla cartella platform-tools dove troverete fastboot e adb . Si trova in /androidsdk/platform-tools.

Quando sarete negli strumenti della piattaforma eseguite il seguente comando:

./adb devices

Se otterrete una schermata con un numero di serie siete a posto: significa che il computer riesce a leggere il telefono. Se non otterrete nulla, andate in impostazioni per sviluppatori e abilitate Debug USB

Quando il telefono e l’SDK comunicheranno, digitate il seguente comando per accedere alla shell del dispositivo:

./adb shell

Dovreste avere un bash, come mostrato nell’immagine sotto :

Screen Shot 2013-02-16 at 1.10.14 PM

Non appena sarete nella riga di comando del vostro telefono, eseguite il seguente comando:

dd if=/dev/urandom of=/sdcard/junkfile

Non otterrete risposta per un po’: in sostanza, verrà creato un file pieno di dati casuali sulla scheda SD del vostro telefono fino a quando non sarà completamente piena; a quel punto si fermerà. Potrete verificare andando in Impostazioni> Memoria e guardando la % libera sulla scheda SD che continua a diminuire.

Quando il processo sarà completato, dovreste avere un messaggio simile al seguente, che descrive la quantità di spazio scritto. Dovrebbe essere pari alla dimensione della vostra scheda SD.

Screen Shot 2013-02-16 at 5.01.55 PM

Una volta che il processo sarà completo, proveremo a ripetere la stessa riga, con una leggera modifica, come segue:

dd if=/dev/urandom of=/data/junkfile

Questo creerà un altro junk file sul vostro dispositivo con dati casuali, ma non sarà in /sdcard, bensì in /data. /data, dove sono memorizzate tutte le impostazioni delle vostre varie app. Per verificare che questo processo fosse ancora in esecuzione, ho aperto una nuova finestra del terminale e ho usato la shell ./adb per eseguire ls -all -h per guardare la dimensione del file che continuava a crescere, come illustrato di seguito:

Screen Shot 2013-02-16 at 4.59.52 PM

Potrete vedere la dimensione del “junkfile” andare da 600MB a 1.5GB. Una volta che la cartella /data sarà completamente piena, non solo otterrete una conferma sulla shell ma il vostro dispositivo Android dovrebbe mandarvi un messaggio nella finestra di notifica che la partizione dati è piena e che le funzioni di sistema potrebbero essere compromesse, per una volta questo è bene!

Quindi, a questo punto, avrete correttamente saturato le vostre cartelle /data e /sdcard, le due principali aree in cui le informazioni personali sono memorizzate su Android, con un mucchio di dati casuali.

Il passo successivo, e finale, del processo è quello di tornare semplicemente al punto 1 e fare Ripristino dati di fabbrica per l’ultima volta. Questo marcherà i dati come “scrivibili” e regalerà al nuovo proprietario del vostro dispositivo un’esperienza da “nuovo telefono”. Non è necessario, suppongo, ma immagino che l’acquirente del telefono non prenderebbe troppo bene il fatto di trovare, all’accensione, un telefono pieno di messaggi di errore. ;)

Non sono esperto, però, come ho detto prima, usando software di recupero non sono stato in grado di recuperare i dati dal mio HTC One X, quando l’ho venduto; quindi direi che questo metodo è piuttosto comodo per ripulire il dispositivo del 99,9% degli utenti là fuori.

Un po’ sopra le righe? Sicuramente. Esattamente come piace a me!

Fonte: Secure Erasing Android Devices Guide for the Super Paranoid Seller


Posted in Traduzioni inglese-italiano, Zackery Fretty and tagged , , by with no comments yet.

Utilizzare i battiti cardiaci come password per rendere sicuri i dispositivi medici

Il post seguente è stato tradotto per gentile concessione di Naked Security

Heartbeat. Image courtesy of Shutterstock. È tempo d’iniziare a pensare ai nostri cuori come generatori di numeri casuali. I ricercatori della Rice University hanno proposto di usarli come password per rendere sicuri i dispositivi medici vulnerabili all’hacking.

I ricercatori, nel loro paper sulla tecnica d’autenticazione, chiamata Heart-to-Heart (H2H), osservano che l’uso d’implantable medical devices (IMDs) è in crescita negli Stati Uniti; ad esempio, ogni anno, oltre 100.000 pazienti ricevono defibrillatori cardioverter impiantabili che rilevano ritmi cardiaci pericolosi e gestiscono gli shock elettrici per ripristinare la normale attività.

Altri IMD, categoria che comprende i dispositivi parzialmente o totalmente impiantati nei corpi dei pazienti, includono pacemaker, neurostimolatori e pompe d’insulina o altri microinfusori.

I ricercatori dell’università di Houston, in Texas, dicono che l’H2H affronta una tensione fondamentale tra due esigenze critiche per gli IMD:

  • Gli emergency responder devono essere in grado di riprogrammare rapidamente, o estrarre i dati dai dispositivi, affinché i ritardi nel trattamento, alla ricerca di chiavi o password, non si rivelino fatali per i pazienti
  • l’accesso wireless dei dispositivi deve essere protetto dagli hacker che potrebbero danneggiare i pazienti, o rivelare i loro dati medici.

I ricercatori Farinaz Koushanfar, ingegnere informatico ed elettrico di Rice, il dottorando Masoud Rostami, il collaboratore Ari Juels ed ex chief scientist presso i laboratori RSA, descrivono l’H2H come l’implementazione di criteri di controllo “touch-to-access” .

H2H include uno strumento medico che i ricercatori chiamano genericamente programmer. L’accesso wireless al dispositivo medico di un paziente gli è consentito solamente quando è in contatto diretto con il corpo di un paziente.

Un tecnico medico utilizza il programmer per prendere una forma d’onda generata dal cuore pulsante del paziente: ad esempio una firma di un elettrocardiogramma(ECG)

Il dispositivo esterno, cioè il programmer, confronta i dettagli ECG con il dispositivo medico interno. Solamente se i segnali raccolti da entrambi, nello stesso momento, coincidono, è consentito l’accesso.

Rostami ha detto a Eduard Kovacs di Softpedia che, in sostanza, data la variabilità del battito cardiaco, il cuore può funzionare come una sorta di generatore di numeri casuali:

Il segnale del battito cardiaco è diverso ogni secondo, di conseguenza la password è diversa ogni volta. Non può essere usata nemmeno un minuto più tardi.

La violazione di dispositivi medici è, a questo punto, palesemente fattibile.

In ottobre 2012, il governo degli Stati Uniti ha detto alla Food and Drug Administration ( FDA ) statunitense d'iniziare a considerare seriamente la sicurezza dei dispositivi medicali ; sia che stiamo parlando di violazione intenzionale, trasferimento dati non cifrato che può essere manipolato, o una serie di altri vettori di rischio.

Nel giugno 2013, l' FDA ha adempiuto, invitando i produttori di dispositivi medici e delle strutture sanitarie a iniziare ad occuparsi delle vulnerabilità dei dispositivi medici ai cyberattacchi.

Koushanfar e Rostami presenteranno il sistema in novembre alla conferenza sui computer e la sicurezza delle comunicazioni a Berlino.

Prima di vedere il debutto di H2H, sarà necessario ottenere l'approvazione dell'FDA. Successivamente, spetterà ai produttori di dispositivi medici adottare la tecnologia.

È un approccio affascinante per l'autenticazione .

La mia pompa d'insulina ed io non vediamo l'ora di vedere se verrà apprezzato e adottato nel settore dei dispositivi medici.
Poi, chi lo sa?

Forse i nostri cuori pulsanti, un giorno, potranno essere una valida alternativa alle domande di sicurezza facilmente aggirabili e completamente violabili che sono usate ora per verificare, presumibilmente, che siamo chi diciamo di essere.

Fonte: Using heartbeats as passwords to secure medical devices


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Sorveglianza tramite sensore dell’iPhone

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

Il nuovo iPhone ha un chip con sensore di movimento che offre nuove opportunità alla sorveglianza:

I coprocessori M7 introducono funzionalità che alcuni potrebbero identificare istintivamente come “raccapriccianti”. Anche la stessa descrizione di Apple accenna a lugubre onniscienza: “M7 sa quando stai camminando, correndo, o perfino guidando…” Implementata in sordina all’interno di iOS, non è un segreto per le app di terze parti (che richiedono un opt-in attraverso la notifica pop-up e la gestione attraverso le impostazioni della privacy del telefono). Ma, come sappiamo, la maggior parte degli utenti concede sconsideratamente queste autorizzazioni.

Tutto si riduce a una questione di agenzia quando si tratta di rintracciare i nostri corpi.

Il fatto che la mia Fitbit tracci le attività senza confrontarle con tutte le mie altre fonti di dati, come posizione GPS o il mio calendario, è confortante. Questi silo di dati, a volte, possono essere frustranti quando voglio interrogare tutti i miei dataset QS, ma le divisioni integrate tra i dati del mio corpo e i dati del resto della mia vita digitale, lasciano spazio alla mia intenzionale indagine e interpretazione.

Fonte: iPhone Sensor Surveillance


Posted in Bruce Schneier, Traduzioni inglese-italiano by with no comments yet.

Cos’è accaduto al likejacking di Facebook?

Il post seguente è stato tradotto per gentile concessione di F-Secure

Nel 2010 il likejacking di Facebook ( tecnica di social engineering che ingannava le persone tramite aggiornamenti dello stato di Facebook ) era un trending problem. Quindi, cos’è accaduto agli scam likejacking e allo spam? Beh, Facebook ha aumentato la sicurezza e il trend è diminuito in modo significativo; almeno se paragonato ai picchi del 2010.

Ma non si può domare un buon spammer. Non puoi batterli? Unisciti a loro.

Oggi, parte della stessa spazzatura che era trasmessa via likejacking, ora è trasmessa tramite la pubblicità di Facebook.

Sponsor di Facebook

La miniatura centrale superiore, sopra, è una sorta di uovo malformato . Una tipica click-bait.

Gli ad link ad una pagina con campagne localizzate. Notare il “Ca” e “Fi”.

Lezioni di cucina 101

La landing page utilizza un trucco “app” per reindirizzare automaticamente a una campagna di spam:

schema lavoro da casa

Siamo abbastanza sicuri che questi trucchi siano una violazione del ToS di Facebook. Ma finora Facebook non ha avuto reazioni al campione che gli abbiamo inviato.

A quanto pare.

Alcune delle campagne spam, a seconda dei source ad, non sono esattamente “safe for work”:

Jailbait ads

Un ulteriore problema: alcuni degli ad sembrano essere collegati a siti web compromessi. Gli spammer potrebbero anche non pagare questi annunci.

Venite giudicati dalla società della quale vi occupate?

Questa, probabilmente, è una domanda che brand legittimi con una presenza su Facebook, dovrebbero porsi.

Fonte: Whatever Happened to Facebook Likejacking?


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , , by with no comments yet.