Utilizzare i battiti cardiaci come password per rendere sicuri i dispositivi medici

Il post seguente è stato tradotto per gentile concessione di Naked Security

Heartbeat. Image courtesy of Shutterstock. È tempo d’iniziare a pensare ai nostri cuori come generatori di numeri casuali. I ricercatori della Rice University hanno proposto di usarli come password per rendere sicuri i dispositivi medici vulnerabili all’hacking.

I ricercatori, nel loro paper sulla tecnica d’autenticazione, chiamata Heart-to-Heart (H2H), osservano che l’uso d’implantable medical devices (IMDs) è in crescita negli Stati Uniti; ad esempio, ogni anno, oltre 100.000 pazienti ricevono defibrillatori cardioverter impiantabili che rilevano ritmi cardiaci pericolosi e gestiscono gli shock elettrici per ripristinare la normale attività.

Altri IMD, categoria che comprende i dispositivi parzialmente o totalmente impiantati nei corpi dei pazienti, includono pacemaker, neurostimolatori e pompe d’insulina o altri microinfusori.

I ricercatori dell’università di Houston, in Texas, dicono che l’H2H affronta una tensione fondamentale tra due esigenze critiche per gli IMD:

  • Gli emergency responder devono essere in grado di riprogrammare rapidamente, o estrarre i dati dai dispositivi, affinché i ritardi nel trattamento, alla ricerca di chiavi o password, non si rivelino fatali per i pazienti
  • l’accesso wireless dei dispositivi deve essere protetto dagli hacker che potrebbero danneggiare i pazienti, o rivelare i loro dati medici.

I ricercatori Farinaz Koushanfar, ingegnere informatico ed elettrico di Rice, il dottorando Masoud Rostami, il collaboratore Ari Juels ed ex chief scientist presso i laboratori RSA, descrivono l’H2H come l’implementazione di criteri di controllo “touch-to-access” .

H2H include uno strumento medico che i ricercatori chiamano genericamente programmer. L’accesso wireless al dispositivo medico di un paziente gli è consentito solamente quando è in contatto diretto con il corpo di un paziente.

Un tecnico medico utilizza il programmer per prendere una forma d’onda generata dal cuore pulsante del paziente: ad esempio una firma di un elettrocardiogramma(ECG)

Il dispositivo esterno, cioè il programmer, confronta i dettagli ECG con il dispositivo medico interno. Solamente se i segnali raccolti da entrambi, nello stesso momento, coincidono, è consentito l’accesso.

Rostami ha detto a Eduard Kovacs di Softpedia che, in sostanza, data la variabilità del battito cardiaco, il cuore può funzionare come una sorta di generatore di numeri casuali:

Il segnale del battito cardiaco è diverso ogni secondo, di conseguenza la password è diversa ogni volta. Non può essere usata nemmeno un minuto più tardi.

La violazione di dispositivi medici è, a questo punto, palesemente fattibile.

In ottobre 2012, il governo degli Stati Uniti ha detto alla Food and Drug Administration ( FDA ) statunitense d'iniziare a considerare seriamente la sicurezza dei dispositivi medicali ; sia che stiamo parlando di violazione intenzionale, trasferimento dati non cifrato che può essere manipolato, o una serie di altri vettori di rischio.

Nel giugno 2013, l' FDA ha adempiuto, invitando i produttori di dispositivi medici e delle strutture sanitarie a iniziare ad occuparsi delle vulnerabilità dei dispositivi medici ai cyberattacchi.

Koushanfar e Rostami presenteranno il sistema in novembre alla conferenza sui computer e la sicurezza delle comunicazioni a Berlino.

Prima di vedere il debutto di H2H, sarà necessario ottenere l'approvazione dell'FDA. Successivamente, spetterà ai produttori di dispositivi medici adottare la tecnologia.

È un approccio affascinante per l'autenticazione .

La mia pompa d'insulina ed io non vediamo l'ora di vedere se verrà apprezzato e adottato nel settore dei dispositivi medici.
Poi, chi lo sa?

Forse i nostri cuori pulsanti, un giorno, potranno essere una valida alternativa alle domande di sicurezza facilmente aggirabili e completamente violabili che sono usate ora per verificare, presumibilmente, che siamo chi diciamo di essere.

Fonte: Using heartbeats as passwords to secure medical devices


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

La vostra BMW può essere rubata da qualsiasi idiota con un hacking kit da 30$

Il post seguente è stato tradotto per gentile concessione di Naked Security

chiave BMW I kit per bypassare la sicurezza dell’on-board diagnostics (OBD), completi di moduli di riprogrammazione e chiavi vergini, permettono, a quanto si dice, a ladri dotati di scarsa intelligenza, di rubare auto di fascia alta, come le BMW, nel giro di pochi secondi o minuti.

Secondo The Register, gli strumenti per il bypass da 30$ vengono spediti dalla Cina ed Europa dell’Est in forma di kit a criminali inesperti.

Sembra non si tratti solo di BMW, intendiamoci.

Un post sul sito di appassionati dell’auto Pistonheads, suggerisce che dispositivi simili a quelli utilizzati per rubare BMW siano disponibili anche per Opel, Renault, Mercedes, Volkswagen, Toyota e Porsche Cayenne.

La polizia del Regno Unito trova anche auto di lusso fregate da criminali che pare utilizzino i kit, con i proprietari derubati ancora in possesso delle chiavi.

Sta diventando così frequente, infatti, che la polizia del Warwickshire ha rilasciato una dichiarazione , avvertendo i proprietari di BMW di prendere ulteriori precauzioni, visto che, da gennaio, sono state rubate 154 auto di fascia alta.

BBC Watchdog In agosto, secondo una recente indagine di BBC Watchdog relativa ai furti, la polizia metropolitana di Londra ha lasciato volantini sotto i parabrezza, mettendo in guardia i proprietari di BMW che le loro auto, molto probabilmente, avrebbero potuto essere bersaglio privilegiato.

Lo strumento era originariamente progettato per le officine e i dipendenti addetti al recupero auto per poter entrare nelle diverse auto in caso i proprietari avessero perso le chiavi. I kit, da allora, sono stati presi in consegna da hacker criminali che hanno esaminato i punti deboli della sicurezza della rete OBD.

Per utilizzare lo strumento, i ladri d’auto prima di tutto hanno bisogno d’intercettare la trasmissione tra una key fob valida e un’auto, prima di poter riprogrammare la chiave vergine; che, successivamente, possono utilizzare per avviare, o aprire la macchina tramite la rete OBD.

La BBC ha girato la telecamera verso il cielo mentre i suoi giornalisti stavano utilizzando la chiave nell’indagine di Watchdog ma ho trovato video online che mostrano come sia facile utilizzare quello strumento; o, almeno, un dispositivo che corrisponda alla sua descrizione.

Se il video che ho trovato è una rappresentazione accurata, anche lo scemo del villaggio, con un investimento di 30$ e qualche minuto, potrebbe essere al volante di un sogno.

fermo immagine del video dello strumento OBD

(Approposito, Naked Security ha scelto di non integrare il video, perché potrebbe incoraggiare l’attività criminale e non abbiamo alcun desiderio di promuovere la vendita di tali strumenti a persone non autorizzate)

BMW, la scorsa settimana, ha emesso un comunicato nel quale afferma di essere a conoscenza del nuovo metodo di furto e stare valutando come limitare il problema.

Un modo, a quanto pare, è quello di non possedere una BMW costruita prima del settembre 2011:

"Dopo lunga ricerca siamo certi che nessuno dei nostri ultimi modelli - la nuova Serie 1 Hatch, Serie 3, Serie 5, Serie 6 e Serie 7 - né qualsiasi altra BMW costruita dopo settembre 2011, possano essere rubati con questo metodo. Tuttavia, da produttore responsabile, stiamo cercando modi per mitigare questo nuovo tipo di attacco. "

I clienti preoccupati per il furto di determinati modelli possono chiamare il loro rivenditore BMW.

BMW offre misure tecniche extra che, afferma, possano impedire il furto con gli hacking kit, anche se, afferma, che non ci sia "nessun auto a prova di ladro"

Ma quali sono le falle di sicurezza in OBD?

Come sottolineato da Rob Vandenbrink in una presentazione ( PDF) consegnata in una conferenza di sicurezza del SANS Technology Institute nel mese di luglio, OBD sembra essere "un (tipo) d'Ethernet più lenta e stupida"

Per i dettagli su queste vulnerabilità, date un'occhiata al suo paper.

Presentazione di Rob VandenBrink

In sintesi, Vandenbrink dice:

"Purtroppo, la rete dell'On Board Diagnostic (OBD) nelle nostre auto è completamente aperta, completamente documentata e lo sarà sempre più: documentata e con accesso wireless non autenticato."

Ma aspettate, c'è di più. Oltre a permettere che la vostra macchina venga rubata, alcuni ricercatori dell'Università del Michigan e di Washington hanno dimostrato che le carenze del sistema OBD consentono questi altri trucchetti automobilistici WiFi:

  • blocco e sblocco delle porte
  • suonare il clacson
  • attacco wireless attraverso i sensori di pressione degli pneumatici
  • trojan distribuito tramite CD musicale

Questa roba non è nuova. La parte del trojan CD risale al 2011.

Ciò che è nuovo è quanto l'erudita conoscenza degli hacker dei limiti di OBD sia stata mercificata e commercializzata in questi kit facili da usare e a basso costo.
Dovreste scuotere il produttore della vostra auto per ottenere difese migliori?
Purtroppo, se lo faceste, probabilmente non sarebbe d'aiuto; tra la necessità della meccanica di avere un certo tipo di strumento per salire in auto e le leggi sulla concorrenza che richiedono standard aperti.

Ecco quello che il post dei Pistonheads ha da dire in proposito:

"La ragione per cui questa forma di furto è attualmente così diffusa ... - è che le regole europee sulla concorrenza richiedono che i dispositivi di riprogrammazione di sicurezza e diagnostica siano disponibili ai garage non in franchising. Da come l'abbiamo capita, ciò significa, in realtà, che le case automobilistiche non possono limitare l'accesso o l'utilizzo delle porte OBD. "
"Purtroppo ciò significa anche che, in una certa misura, le mani delle case automobilistiche sono legate..."

Cosa fare: contattare il proprio concessionario per vedere se possiedano tecniche di mitigazione che, come promesso da BMW, possano aiutare.

La polizia del Warwickshire offre anche questi suggerimenti per la sicurezza, anche se è improbabile che possano essere deterrente per un hacker ODB determinato che sia riuscito ad accedere al vostro veicolo:

  • Provate la maniglia della porta dopo aver usato la chiave per bloccare la vostra auto, per verificare nuovamente che sia realmente bloccata.
  • Date una buona occhiata in giro quando lasciate il veicolo per vedere se sia possibile individuare qualcuno in attesa nelle vicinanze, o in un veicolo nelle vicinanze; soprattutto se controllando trovate la porta ancora aperta.
  • Riferite qualsiasi cosa riteniate sospetta alla polizia: vogliono beccare questi tizi.

In definitiva, vale la pena ricordare - come ammette BMW - che non c'è "nessun auto a prova di ladro" .

Hat-tip: The Register

Fonte: Your BMW can be stolen by any idiot with a $30 hacking kit


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Malware per Android si finge il gioco Angry Birds Space

Il post seguente è stato tradotto per gentile concessione di Naked Security

Angry Birds Space Gli autori di malware di Android hanno colto l’occasione d’infettare gli ignari utenti di smartphone con il lancio dell’ultima novità dell’immensamente popolare serie di giochi “Angry Birds”.

SophosLabs, recentemente, ha incontrato versioni affette da malware del gioco “Angry Birds Space” inserite in Android app store non ufficiali. Si noti: la versione di “Angry Birds Space” nel market ufficiale di Android (recentemente rinominato “Google Play”) *non* ne è affetta.

Il cavallo di Troia, che Sophos rileva come Andr/KongFu-L, pare essere una versione completamente funzionante del popolare gioco per smartphone; ma utilizza l’exploit GingerBreak per ottenere l’accesso root al dispositivo e installare codice dannoso.

Il trojan comunica con un sito web remoto nel tentativo di scaricare e installare ulteriore malware sullo smartphone Android compromesso.

Telefono Android con trojan che finge di essere Angry Birds SpaceTelefono Android con trojan che finge di essere Angry Birds Space

Interessante notare che il malware nasconde il suo payload: sotto forma di due file ELF dannosi, alla fine di un file immagine JPG.

Codice nascosto al termine di file JPGCodice nascosto al termine di file JPG

Piazzato il malware, ora i cibercriminali possono inviare istruzioni ai dispositivi Android compromessi per poter scaricare ulteriore codice, o forzare URL da visualizzarsi nel browser dello smartphone.

In effetti, il vostro telefono Android ora è parte di una botnet, sotto il controllo di hacker malintenzionati.

Pare che dovremmo continuare a ricordare agli utenti Android di stare in guardia contro i rischi del malware, e di stare molto attenti, in particolare durante il download di applicazioni da market non ufficiali di Android.

Fonte: Android malware poses as Angry Birds Space game


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Malware di Android spia i vostri messaggi sms. Ma fa parte della famiglia di Zeus?

Il post seguente è stato tradotto per gentile concessione di Naked Security

Malware di Android I moduli Symbian , Windows Mobile e Blackberry del famigerato toolkit di malware Zeus (noto anche come ZBot), sono noti da mesi ed era chiaro che la gang di Zeus fosse interessata allo sviluppo di malware per piattaforme mobili.

Tuttavia, finora, non abbiamo visto alcuna prova che Zeus prenda di mira gli utenti che possiedono dispositivi Android o IOS (iPhone/iPad).

Questo fatto ci ha abbastanza sorpreso, considerando la popolarità delle piattaforme Android e IOS e la crescente diffusione di malware scritti in particolare per il sistema operativo Android di Google.

Negli ultimi due giorni, però, ci sono state parecchie discussioni sulle mailing list dedicate all’analisi del malware mobile in merito a una versione Android di Zeus.

Alla fine siamo giunti alla conclusione che si trattasse di un’applicazione nociva che i prodotti Sophos rilevano, già dal 31 maggio 2011, come Andr/SMSRep-B .

L’applicazione nociva finge di essere una versione Android del software di sicurezza bancaria Trusteer Rapport ed è stata inviata ai dispositivi con l’SO Android di Google da un web server creato per distribuire il malware Zbot a diverse piattaforme.

Dopo il fatto, non è stato difficile connettere l’applicazione Android allo Zeus toolkit, anche se non siamo certi al 100% che ci fosse una connessione.

L’applicazione installata utilizza un’icona rubata a Rapport e mostra una semplice schermata quando viene lanciata sul dispositivo colpito.

Zeus Rapport

La falsa applicazione Rapport si registra come Broadcast receiver, intercetta tutti gli SMS ricevuti e inoltra i messaggi a un server web nocivo mediante richieste HTTP POST. I messaggi SMS rubati sono codificati utilizzando uno schema di codifica JSON, spesso utilizzato da vari servizi web.

Anche se l’applicazione è chiaramente progettata per sottrarre il contenuto dei messaggi SMS, non è molto elaborata.

Per questo non possiamo essere sicuri al 100% che sia realmente parte del kit Zeus. L’URL del server command and control è hardcoded nel codice sorgente, ad esempio, e ciò non rende l’applicazione molto versatile per essere installata su un server alternativo.

Tuttavia, questa applicazione nociva per Android è interessante, in quanto combina le funzionalità spyware con il concetto di software di sicurezza fasullo. Come abbiamo visto di recente nel mondo di Mac OS X, il falso software antivirus è uno dei temi più comuni adottato dagli hacker malintenzionati durante i loro attacchi.

Alla fine il dubbio se questo faccia realmente parte della famiglia Zeus o meno, rimane.

Suppongo che solo gli sviluppatori dello Zeus kit lo sappiano per certo. Purtroppo non ho modo di contattarli e anche se l’avessi, dubito che sarebbero disposti a confermare o smentire questa teoria.

Fonte: Android malware spies on your SMS messages – but is it part of the Zeus family?


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , , by with no comments yet.

Falla di sicurezza potrebbe interessare il 99% degli smartphone Android

Il post seguente è stato tradotto per gentile concessione di Naked Security

Android smartphone Secondo alcuni ricercatori tedeschi, il 99% dei dispositivi Android potrebbe essere a rischio a causa di una vulnerabilità che potrebbe consentire a soggetti non autorizzati di curiosare sul vostro Google Calendar ed i vostri contatti.

La scoperta dei ricercatori dell’Università di Ulm, porta alla luce un serio problema di privacy e sottolinea la difficoltà che molti possessori di smartphone Android sembrano affrontare nel mantenere i loro sistemi operativi aggiornati.

Secondo il paper di Bastian Konings, Jens Nickels e Florian Schaub, dal titolo “Intercettare AuthTokens in the Wild: l’insicurezza del protocollo ClientLogin di Google”, in Android 2.3.3 e precedenti, le app del ​​calendario e dei contatti trasmettono informazioni “in chiaro” via HTTP e recuperano un authentication token (authToken) da Google.

Ciò significa che c’è la possibilità per i criminali informatici di intercettare il traffico WiFi e rubare l’authToken che lo smartphone ha appena generato.

Sniffing di un authToken di Wireshark

Visto che gli authToken possono essere utilizzati per diversi giorni anche per richieste successive, gli hacker possono sfruttarli per accedere a quelli che dovrebbero essere servizi ​​e dati privati, come il vostro calendario online. Inoltre, gli authToken generati non sono legati a un particolare telefono, di conseguenza possono essere facilmente utilizzati per spacciarsi per un dispositivo diverso.

Bleah!

Lo scenario è un vero problema se si utilizza un hotspot WiFi in chiaro (come quelli comunemente disponibili nelle hall degli alberghi, aeroporti, o coffee shop all’angolo della strada).

Secondo i ricercatori, Google ha risolto il problema con Android 2.3.4. Ma questo è il problema. Quante persone usano ancora le vecchie versioni di Android OS?

Uso della piattaforma Android OS

Circa il 99% degli utenti di Android sono vulnerabili, in quanto non hanno aggiornato almeno alla versione 2.3.4 (nome in codice “Gingerbread”).

Gingerbread Purtroppo non è sempre possibile aggiornare, visto che dipende dal produttore del cellulare e dal carrier che fornisce l’aggiornamento over the air.

C’è una vasta gamma di smartphone Android in circolazione e laddove Apple sia in grado di rilasciare un singolo aggiornamento IOS per iPhone e iPad, le cose non sono così semplici per gli utenti di Google. Questa frammentazione lascia, inevitabilmente, i dispositivi Android vulnerabili a problemi di sicurezza.

Fortunatamente Google sembra essere consapevole di questo problema e dice che lavorerà a più stretto contatto con produttori e carrier per garantire che, in futuro, gli utenti possano ricevere gli ultimi aggiornamenti.

Ma cosa dovresti fare se fossi il proprietario di un sistema con Android?

Il mio consiglio sarebbe quello di effettuare l’aggiornamento all’ultima versione, se possibile.

Inoltre, non utilizzare reti WiFi aperte, visto che le comunicazioni potrebbero non essere adeguatamente protette. Se siete preoccupati di quest’ultimo problema di sicurezza sarebbe saggio connettersi a Internet via 3G dal proprio smartphone, piuttosto che tramite connessioni WiFi pubbliche non cifrate.

Utilizzare 3G potrebbe incidere sul vostro piano tariffario, ma è molto meno probabile che le vostre comunicazioni vengano intercettate.

Fonte: Security hole could affect 99% of Android smartphones


Posted in Naked Security, Traduzioni inglese-italiano and tagged by with no comments yet.

Attenzione! Il tasto “Non mi piace” di Facebook si diffonde velocemente ma è un falso

Il post seguente è stato tradotto per gentile concessione di Naked Security

Non siate troppo veloci nel fare clic sui link che affermano di voler “Attivare il tasto “Non mi piace” ” su Facebook, visto che la rapida diffusione di questo scam, questo fine settimana, ha causato problemi agli utenti del social networking.

I messaggi che affermano di offrire il contrario del tasto “Mi piace” sono stati pubblicati su molte bacheche degli utenti di Facebook:

Tasto Non mi piace su Facebook

Facebook ora ha il tasto "Non mi piace"! Fate clic su "Attiva tasto "Non mi piace" " per attivare la nuova funzionalità!

Come nello scam precedente "Previeni lo spam/Verifica il mio account" , gli scammer sono riusciti a superare la sicurezza di Facebook per sostituire l'opzione standard "Condividi" con il link "Abilita il tasto "Non mi piace" ".

Il fatto che il link "Abilita il tasto "Non mi piace" " non appaia nella parte principale del messaggio, ma più in basso accanto a "Mi piace" e "Commenta", rischia di trarre in inganno alcuni utenti e portarli a credere che sia vero.

Fare clic sul link, però, non solo inoltrerà il falso ​​messaggio del cosidetto "Tasto "Non mi piace" di Fakebook " a tutti gli amici online tramite il posting sul tuo profilo; ma eseguirà anche Javascript offuscato sul tuo computer.

Il danno potenziale dovrebbe essere ovvio.

Come abbiamo spiegato in precedenza, non c'è nessun tasto ufficiale di Facebook e probabilmente mai ci sarà. Ma rimane qualcosa che molti utenti di Facebook desiderano e così gli scammer spesso hanno usato l'offerta di un "tasto "non mi piace" " come esca per gli incauti.

Ecco un altro esempio che si sta diffondendo con l'intento di far incollare JavaScript nella barra degli indirizzi del browser, solo per condurre ad uno scam con sondaggio:

L'offerta del tasto Non Mi Piace vi porta a effettuare il posting di script nella barra degli indirizzi del browser

Se usate Facebook e volete saperne di più su spam, malware, scam e altre minacce, dovreste iscrivervi alla pagina Facebook di Sophos , dove c'è una florida comunità di oltre 80.000 persone.

Fonte: Facebook Dislike button spreads fast, but is a fake - watch out!


Posted in Naked Security, Traduzioni inglese-italiano and tagged by with no comments yet.

Lo scam del video sull’uccisione di Osama si diffonde su Facebook

Il post seguente è stato tradotto per gentile concessione di Naked Security

Gli utenti di Facebook sono stati indotti a fare clic su link che si presume siano un video dell’uccisione di Osama Bin Laden, in realtà è solo l’ultima di una serie di scam che sfruttano le ultime notizie sulla morte del leader di Al Qaeda.

I messaggi che appaiono sono i seguenti:

il video dell'uccisione di Osama

Guarda il video dell'uccisione di Osama
Osama morto - svelato il video censurato
on.fb.me

Osama è morto, guarda il video esclusivo della CNN, censurato dall'amministrazione Obama a causa del livello di violenza; un must, da vedere. Svelato da Wikileaks

Il clic sul link, però, non vi mostrerà filmati sensazionali dei Navy Seal statunitensi che attaccano il compound di Osama Bin Laden in Pakistan.

Al contrario, vi verrà detto di effettuare un sondaggio online.

Scam del video dell'uccisione di Osama

Questo dovrebbe essere sufficiente per far suonare un campanello d’allarme, visto che gli scam tramite sondaggi sono un problema permanente su Facebook, che consente agli scammer di guadagnare ogni volta che un utente viene convinto a completare un sondaggio.

La cosa più interessante di questo scam è indurre a tagliare-e-incollare una riga di codice JavaScript nella barra degli indirizzi del vostro browser web.

Ma, naturalmente, non ve ne renderete conto. Per quanto ne sappiate, state soltanto seguendo una sequenza di istruzioni e premendo alcuni tasti prima di vedere il video.

Scam del video dell'uccisione di Osama

Ma ogni volta che incollate uno script nella barra degli indirizzi del browser, in realtà state eseguendo codice scritto dagli scammer senza nessuna protezione.

Script

Prima di rendervene conto, starete condividendo la notizia del “video dell’uccisione di Osama” con tutti i vostri amici di Facebook e lo scam si diffonderà viralmente.

Penso che non vogliate rendere la vita così facile agli scammer ed eseguire script sul vostro browser. Quindi fate in modo di non cadere in scam simili.

State molto attenti a non farvi ingannare da scam legati alla morte di Osama Bin Laden, non solo su Facebook ma anche altrove su Internet. Una notizia così importante sembra sempre attirare l’interesse di truffatori e autori di malware.

Se volete tenervi aggiornati sugli ultimi scam e siete iscritti a Facebook, non dimenticate di
iscrivervi alla pagina Facebook di Sophos
, per essere sempre informati sulle ultime notizie per quanto riguarda la sicurezza.

Fonte: Osama Shoot down video scam spreads on Facebook


Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with 1 comment.

Software di riconoscimento facciale offusca i dati sensibili quando non lo si guarda

Il post seguente è stato tradotto per gentile concessione di Naked Security

Bene, ecco un genere di “sicurezza endpoint” completamente diverso dal solito.

Un prodotto chiamato “PrivateEye” usa la webcam del computer per identificare il vostro viso. Mentre siete seduti davanti al PC e guardate lo schermo, il software di riconoscimento facciale di PrivateEye sa che non deve fare nulla; ma non appena si distoglie lo sguardo, il contenuto dello schermo diventa incomprensibilmente sfuocato .

Sbirciare il laptop di qualcun'altro

Non impedirà al malware e agli hacker in remoto di rubare dati dal disco rigido del computer; ma potrebbe – sostengono gli sviluppatori di Oculis Labs – impedire agli “shoulder-surfer” di spiare ciò che c’è sullo schermo quando leggete informazioni riservate. Questo perché, se il software PrivateEye nota un volto accanto al vostro, è immediatamente in grado di nascondere i contenuti dello schermo.

Sembra uno strumento divertente con cui giocare! Purtroppo non ne ho una copia, quindi devo accontentarmi di questo video YouTube:

Buona fortuna a Oculis Labs che produce “PrivateEye”.

È bello vedere una piccola società di tecnologia provare qualcosa di diverso, anche se non so quanto potrebbe essere popolare nell’ambiente aziendale. Pensate a tutte le volte che invitate qualcuno alla vostra scrivania per mostrare una bella animazione che avete appena fatto in PowerPoint, o chiedete all’informatico di dare un’occhiata per capire perché Lotus Notes non funziona correttamente.

Qualcuno ha provato PrivateEye? Se sì, fatemi un favore: provate ciò che segue e ditemi se ha funzionato o meno:

Palloncino con faccia title=

1) Disegnate una faccia sorridente su un palloncino e mettetelo di fronte alla vostra webcam. Siete stati in grado di ingannare PrivateEye?

Cane che lavora al computer

2) Prendete il cane e mettetelo sulla poltrona. Avete avuto fortuna?

Essere John Malkovich

3) Provate con una maschera su un bastone, in stile “Essere John Malkovich”.

Penso che questo software sia molto divertente. Stranamente mi ha ricordato un po’ il pesce d’aprile di RAPIL che SophosLabs ha fatto qualche anno fa; ma son sicuro che PrivateEye non è uno scherzo.

Hat-tip: ho scoperto PrivateEye attraverso un recensione di PC Magazine , scritta dal leggendario Neil Rubenking.

Fonte: Facial recognition software that blurs your sensitive data when you’re not looking at it


Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with no comments yet.

Gli SSD si sono dimostrati difficili da cancellare in sicurezza

Il post seguente è stato tradotto per gentile concessione di Naked Security

Questa settimana, alla conferenza Usenix FAST 11 sulle tecnologie di archiviazione e memorizzazione a San Jose, California, i ricercatori hanno pubblicato un paper che esamina l’efficacia delle diverse metodologie di cancellazione sicura su Solid State Disk (SSD).

SSD kit

I ricercatori, Michael Wei, Laura M. Grupp, Frederick E. Spada e Steven Swanson dell’Università della California a San Diego, sono giunti a diverse conclusioni interessanti:

  • Le funzionalità del set di comandi ATA e SCSI per distruggere in sicurezza i dati su SSD (“ERASE UNIT”), erano disponibili solo su 8 dei 12 drive testati e si sono dimostrate efficaci soltanto su 4.
  • Sovrascrivendo più volte l’intero disco con ripetizioni multiple si possono distruggere i dati con successo, ma a causa del Firmware Translation Layer (FTL), questa operazione è molto più complicata e richiede molto più tempo che su unità a disco tradizionali. Sulla base dei risultati, è un’opzione priva d’attrattiva per la maggior parte delle organizzazioni.
  • Il degaussing degli SSD non cancella i dati memorizzati. Visto che gli SSD non utilizzano la memorizzazione magnetica, avrebbe potuto esserci qualche speranza che l’elettromagnetismo potesse distruggere l’elettronica nei chip flash.
  • La sanitization di un singolo file, la capacità di distruggere in sicurezza un file su un disco non cifrato, è quasi impossibile sugli SSD. Il paper sostiene che anche i più efficaci metodi di distruzione di file possono lasciarsi alle spalle più del 4 per cento dei dati originali.
  • I drive che vengono cifrati forniscono la forma più concreta di protezione. I dischi possono essere tranquillamente dismessi eliminando le chiavi di cifratura dalla Key Storage Area (KSA) per poi eseguire una cancellazione completa DoD per garantire che le chiavi non siano recuperabili.
  • Risultati della sanitization di file singoli da un paper UCSD

    Consiglio di leggere il documento completo se foste interessati a raccogliere le sfide legate alla salvaguardia dei dati su SSD.

    Per proteggere i dati correttamente e sfruttare i vantaggi prestazionali che offrono gli SSD, si dovrebbe sempre cifrare l’intero disco e farlo non appena il sistema operativo sia stato installato.

    Cancellare in sicurezza gli SSD dopo che siano stati utilizzati in chiaro, è molto difficile e potrebbe essere impossibile in alcuni casi.

    L’immagine Creative Commons del kit SSD è stata utilizzata per gentile concessione di PiAir’s Flickr photostream.

    Fonte: SSDs prove difficult to securely erase


    Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with no comments yet.

Farm cash gratuito da Zynga? No, è un altro scam virale di Facebook

Il post seguente è stato tradotto per gentile concessione di Naked Security

Gli scam continuano ad essere una seccatura su Facebook, l’ultimo si presenta come un modo per ottenere farm cash gratuito per la vostra fattoria, nel popolare gioco online Farmville.

Se doveste aver visto messaggi come il seguente, non fate clic sul link:

 Ohhhhhhhhh il team Zynga ..... mi ha dato 310 farm cash assolutamente gratuito. SÌ GRATUITAMENTE come bonus natalizio .. è così maledettamente .. COOL! Danno veramente un bonus di 310 farm cash ma per un periodo molto breve ... Questa OFFERTA DURERÀ SOLO UNA O DUE ORE... Affrettatevi!. . Prendetela al volo. Ecco il link

Ohhhhhhhhh il team Zynga ..... mi ha dato 310 farm cash assolutamente gratuito. SÌ GRATUITAMENTE come bonus natalizio .. è così maledettamente .. COOL! Danno veramente un bonus di 310 farm cash ma per un periodo molto breve ... Questa OFFERTA DURERÀ SOLO UNA O DUE ORE... Affrettatevi!. . Prendetela al volo. Ecco il link - [LINK] Sii veloce!

L’offerta viene chiamata “310 FV Cash Christmas Offer [Zynga Official]“, ma non c’è nulla di ufficiale e non proviene dagli sviluppatori di Farmville.

Se avrete commesso l’errore di fare clic sul link, vi ritroverete in una pagina web che si presenta certamente come se fosse collegata a Farmville.

offerta FarmVille

La quale, a sua volta, vi inviterà a concedere l’autorizzazione a un’applicazione di terze parti per accedere al profilo Facebook.

Richiesta applicazione Farm cash

Se avrete concesso i permessi, sarete alla mercé dei truffatori; in quanto darete loro la possibilità di accedere a parti del vostro profilo Facebook: ad esempio inviare messaggi come se fossero vostri. In questo modo, inviteranno altri utenti a fare clic sul link (i vostri amici potrebbero essere maggiormente tentati se vedranno che “tu” parlerai dei farm cash di Farmville), e così via …

Farm Cash newsfeed update

Ecco altri termini utilizzati nello scam, progettato per far credere ai vostri amici online che questa sia realmente un’offerta ufficiale promossa da Zynga:

GRANDI NOVITÀ! Il team Zynga mi ha dato 310 farm cash assolutamente gratuiti. SÌ GRATUITAMENTE come bonus natalizio .. è così maledettamente .. COOL! Danno veramente un bonus di 310 farm cash ma per un periodo molto breve ... È UN' OFFERTA LIMITATA, SOLTANTO PER POCHE ORE... Affrettatevi!... Prendetela al volo. Ecco il link - [LINK] AFFRETTATEVI o perderete un'occasione d'oro!

Siate i più veloci, o perderete una grande opportunità di ottenere gratuitamente 310 farm cash.
Salve! Noi, team ufficiale Zynga, offriamo un bonus di 310 farm cash assolutamente gratuiti in occasione delle feste natalizie. Questa offerta è limitata, SOLTANTO PER POCHE ORE, quindi prendetela al volo non appena possibile. Buon Natale. Zynga Team Ltd.

Quindi, perché gli scammer fanno tutto ciò? Beh, sembra che come al solito tentino d’indirizzare il traffico verso un sondaggio generatore d’entrate.

In ogni caso, quando ho controllato lo scam, è risultato che i tentativi di ospitare codice all’interno del servizio 123ContactForm fossero falliti, visto che gli amministratori l’hanno sostituito con un avviso di violazione dei termini di servizio.

Messaggio sul sito di 123ContactForm

Ciò nonostante il messaggio si è diffuso rapidamente tramite Facebook.

Non permettete che scam simili contaminino la vostra pagina Facebook: riflettete attentamente prima di fare clic sui link, anche se sembrano essere stati condivisi dai vostri amici di Facebook.

In particolare si dovrebbe sempre essere sospettosi ogni volta che un’applicazione di terze parti richiede di accedere al vostro profilo senza un motivo legittimo.

Se siete stati colpiti da uno scam simile, rimuovete i riferimenti dalle vostre Notizie e rimuovete i permessi concessi alle applicazioni rogue che dovessero accedere al vostro profilo in Account > Impostazioni sulla privacy > Applicazioni e siti Web .

Non dimenticate di spargere la voce, avvertendo i vostri amici in merito a scam simili e insegnate loro a non fidarsi di tutti i link che si trovan davanti. Per ulteriori informazioni su Facebook e le minacce alla sicurezza su Internet, iscrivetevi alla fiorente community della pagina Facebook di Sophos .

Fonte: Free farm cash from Zynga? No, it’s another viral Facebook scam


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.