eCrime 2014/ G Data: Coppa del Mondo, Smart TV e Cloud nel mirino

Dal punto di vista del crimine informatico il 2013 è stato un anno segnato da un drammatico incremento del malware per Android, da una grande quantità di pericolosi malware per computer e da sofisticate campagne di eCrime. Per il prossimo anno G Data si aspetta che questo trend continui e prevede che il totale dei nuovi programmi malware per computer continuerà a aumentare. Secondo gli esperti di G Data uno dei più importanti eventi segnato in rosso sul calendario dei cyber criminali è l’attesa Coppa del Mondo di Calcio in Brasile.

Facebook fissa bug che avrebbe consentito ad hacker di attivare webcam

Facebook ha patchato una vulnerabilità di sicurezza che avrebbe permesso agli hacker di attivare la webcam degli utenti a loro insaputa e postare i video ai loro profili. Il bug è stato scoperto nel mese di luglio da due ricercatori di sicurezza informatica in India, secondo Fred Wolens, portavoce di Facebook.  Aditya Gupta e Subho Halder, fondatori di una società di consulenza chiamata XY Security, hanno riportato i loro risultati su Facebook, che li ha pagati 2.500 dollari in contanti per le informazioni, hanno detto.

Riconoscimento facciale: identificati su Facebook attraverso fotografia

Immaginate di essere seduti ad un bar e di essere in grado, dopo aver scattato qualche foto alle persone, di imparare velocemente chi sono, chi sono i loro amici, dove vivono, che tipo di musica piace e prevedere il loro numero di Social Security. Ora, immaginate di poter visitare uno di questi anonimi siti di dating online e identificare velocemente quasi ogni persona lì, proprio dalla loro foto, nonostante gli sforzi per mantenere la loro ricerca segreata e la loro storia d'amore online.

Facebook e siti Web a rischio vulnerabilità HTTP Parameter Pollution

I siti Web negli ultimi anni si sono fatti sempre più interattivi, tramutandosi forma, da semplici pagine statiche, in delle applicazioni complesse e dinamiche. Questo ha portato dei grandi vantaggi agli utenti, in termini di piacevolezza e completezza dell’esperienza di navigazione, ma ha anche reso i siti stessi molto più vulnerabili sotto il profilo della sicurezza. Alcune delle principali falle di sicurezza sono ben note e studiate, altre non hanno finora ricevuto la stessa attenzione. Un giovane studioso italiano che lavora in Francia, all’istituto di ricerca Eurecom, Marco Balduzzi, ha presentato settimana scorsa alla conferenza «Black hat» di Barcellona, assieme a tre colleghi un rapporto che analizza appunto una delle vulnerabilità meno considerate, la «Http Parameter Pollution (Hpp)» che, come Balduzzi ha dimostrato analizzando 5.000 domini Internet popolari di Alexa, grazie a un sistema di scanning automatizzato creato ad hoc, è presente nel 30 % dei siti. L'HTTP Parameter Pollution (HPP) rappresenta una nuova classe di problemi per le applicazioni web. Una vulnerabilità  HPP permette ad un aggressore di iniettare un parametro (e il suo valore) all'interno dell'URL generato dall'applicazione. Come qualcuno saprà, il 14 maggio @ OWASP AppSec Polonia 2009, CTO Minded Security* e Stefano di Paola hanno presentato una nuova categoria di attacco chiamata HTTP Parameter Pollution (HPP). Gli attacchi HPP possono essere definiti come la possibilità di modificare o aggiungere parametri HTTP GET / POST iniettando delimitatori di stringa di query. Possono colpire tutte le tecnologie web quindi server-side e client-side. Le conseguenze dell'attacco dipendono dalla logica dell'applicazione, e può variare da un semplice fastidio a una corruzione totale del comportamento dell'applicazione. In altre parole, quasi un sito su tre, tramite dei link creati ad hoc, che vanno a rimpiazzare una delle variabili gestita dalle pagine, può essere indotto a comportarsi in maniera anomala. Le conseguenze possono essere l’invio di un post sulla propria pagina Facebook, cliccando per esempio su un link che in teoria doveva servire ad altro.

Http Parameter Pollution, a new category of web attacks

View more presentations from Wisec

Oppure, nei casi più gravi, si può giungere alla modifica fraudolenta della scelta di un utente in un sondaggio online, fino alla completa compromissione delle funzionalità di un sito di e-commerce, cambiando il prezzo di una merce in vendita. «Se controlli i parametri - ha spiegato Balduzzi a Forbes - puoi fare qualsiasi cosa». Sebbene l'HTML Parameter Pollution fu rivelato come una vulnerabilità due anni fa, Balduzzi ha creato uno strumento che individua i bug sul Web con uno scanner che egli chiama Parameter Pollution Analysis System, o PAPAS. Dallo scanning automatizzato messo a punto dai quattro ricercatori, è risultato che anche domini appartenenti a grandi entità del Web come Google, Facebook, Microsoft e Symantec potrebbero soccombere a un attacco di «parameter pollution», il che, a giudizio degli studiosi conferma come il problema sia stato finora sottostimato. «Per ora non si conoscono casi in cui la vulnerabilità Hpp sia stata sfruttata - afferma il giovane scienziato italiano - ma è solo questione di tempo. Gli sviluppatori Web devono diventare consapevoli della sua esistenza e scrivere il codice in maniera sicura. Altrimenti, prima o poi, qualcuno ne approfitterà». Balduzzi, classe 1982, è originario di Seriate e si è laureato all’Università di Bergamo. Dopo esperienze in Norvegia in Germania, e il lavoro come consulente di sicurezza informatica per aziende italiane e straniere, è approdato nel 2008 all’Eurecom, dove sta svolgendo il dottorato di ricerca. A questa pagina potete inviare il vostro sito per essere testato gratuitamente da PAPAS. Il sistema automatico analizzerà la vostra domanda e invierà un rapporto in formato HTML quando la scansione sarà completata.  PAPAS rappresenta il primo e unico sistema per rilevare in tempo reale problemi HPP in siti internet. Il sistema funziona attraverso la scansione dell'applicazione e il controllo di ogni pagina con un meccanismo fuzzing intelligente per scoprire eventuali iniezioni nei collegamenti e forms. Con questa iniziativa ci si augura di sensibilizzare e richiamare l'attenzione sul problema HPP. La documentazione completa in formato .PDF è disponibile a questo indirizzo.

* Minded Security è un operatore dell'informazione globale di protezione focalizzato sulla sicurezza delle applicazioni.

Via: La Stampa