mercoledì 26 ottobre 2016

Connessioni 4G? Non sono sicure

Tutti i giorni con i nostri smartphone sfruttiamo il potenziale delle reti di quarta generazione.  Apriamo il nostro social network preferito, la posta elettronica ed l'instant messenger di riferimento in un batter d'occhio.


Abbiamo mai pensato a quanto siano sicure tutte queste singole operazioni? Le minacce arrivano solo dai cracker in cerca di profili Facebook vulnerabili o vulnerabilità insite nei software che avete installato sui vostri terminali?

Qihoo 360, Zhang Wanqiao, ricercatore cinese, ha dimostrato una vulnerabilità sulle reti 4G LTE ancora oggi attiva che consente di intercettare chiamate e messaggi di testo, oltre che individuare la posizione di un utente.

L'hack è stato mostrato negli scorsi giorni alla conferenza di sicurezza Ruxcon nella città di Melbourne, in Australia, e si basa su uno stato "fail-safe" poco noto che viene normalmente usato per supportare gli utenti in eventuali situazioni di emergenza che provocano un sovraccarico nei ripetitori cellulari. La vulnerabilità è attiva da tempo e ancora oggi non ci sono piani per risolvere il problema.

L'organizzazione responsabile per la gestione e il rispetto degli standard di rete mobile, la 3GPP, ha riconosciuto il problema nel 2006 scegliendo di non intervenire al riguardo. Alcuni ricercatori hanno dimostrato la vulnerabilità nel 2015 e nello stesso anno la ACLU ha ottenuto documenti nei quali si poteva individuare una certa correlazione fra la vulnerabilità e il dispositivo di sorveglianza definito Stingray utilizzato ampiamente negli scorsi anni da diverse forze dell'ordine statunitensi, sia locali che di stato. Ad agosto 2016 lo stesso Wanqiao Zhang di Qihoo 360 continuava a parlare della vulnerabilità, dimostrandola in funzione estensivamente negli scorsi giorni al Ruxcon.

Inizialmente il ricercatore ha mostrato l'attacco mentre veniva operato sfruttando le reti TDD-LTE, ma ha confermato al Register che in realtà l'exploit può essere sfruttato in tutto il mondo. 

L'aggressione mostrata da Zhang funziona solo dopo aver effettuato un downgrade della connessione LTE ad una connessione 3G, per poi spostarsi su una connessione 2G insicura. È in questo momento che avviene l'exploit delle vulnerabilità note. Secondo una diffusa linea di pensiero, non sono previste patch perché la vulnerabilità è ancora oggi sfruttata in quelle aree in cui le forze dell'ordine locali non mostrano alcuna volontà di collaborazione.

Lo smartphone si basa nello specifico su una vulnerabilità sulle reti 4G LTE che consente a falsi ripetitori di rete LTE di forzare la connessione ad una rete 2G compromessa da cui è possibile effettuare una serie di atti malevoli particolarmente utili ai fini della sorveglianza. Fra questi Denial of Service, reindirizzamento di chiamate e messaggi, intercettazioni di traffico voce e dati.

Un attacco possibile non solo su un ristretto numero di reti, ma virtualmente su tutte le reti 4G LTE ad oggi disponibili a livello globale. Rimane sospetta la volontà del 3GPP di mantenere la vulnerabilità a circa 10 anni di distanza dalla scoperta, ma rimaniamo in attesa di una risposta ufficiale.

Per chi vuole mantenere il proprio traffico al sicuro, l'unica soluzione è l'uso di una VPN, magari via OpenVPN su protocollo TLS. Le VPN che utilizzano i metodi di connessione PPTP/L2TP/SOCKS rimangono invece vulnerabili agli attacchi.
Leggi l'intero articolo

martedì 14 giugno 2016

iOS10: novità nascoste e nuovi orizzonti

Il nuovo sistema operativo per dispositivi mobili di Apple è stato presentato nella serata di ieri e, come sempre, la Mela ha fatto le cose in grande.


Oltre ai proclami patinati, però, cerchiamo di capire quali sono le novità passate in inosservate ma altrettanto interessanti.  

Ecco una lista di 10 novità:

  • Rimozione App di Sistema:
    • iOS 10 permette di disinstallare alcune app native iOS che, una volta eliminate, possono essere reinstallate attraverso l'App Store, come qualunque altro titolo. Ciò significa che ora diventano slegate da iOS e possono essere aggiornate in qualunque momento. A seguire le app di sistema "sacrificabili": 
      1. Bussola
      2. Contatti
      3. FaceTime
      4. Trova i Miei Amici
      5. Casa
      6. iBooks
      7. iCloud Drive
      8. iTunes Store
      9. Mail
      10. Mappe
      11. Musica
      12. Notizie
      13. Note
      14. Podcast
      15. Promemoria
      16. Borsa
      17. Consigli
      18. Video
      19. Memo Vocali
      20. Watch
      21. App Meteo
  • Avvisi di Lettura Individuali: d'ora in avanti si potrà impostare avvisi di lettura per alcuni e non per altri utenti in iMessage.

  • Ora di Andare a Letto: un nuovo tab nell'app Orologio chiamato Bedtime consente di impostare una sveglia per ricordarci di andare a nanna. L'app registra anche le ore di sonno fatte ogni notte.

  • Ottimizzazione Musica: se l'iPhone è a corto di memoria, si può impostarlo perché conservi solo una certa quantità di musica, cancellando tutta il resto.

  • Nuovo Clic Tastiera: nuovo suono per il clic della tastiera di iOS 10, che diventa meno squillante e più minimalista.

  • Nuovo Sfondo: lo sfondo predefinito è un'onda verde che si frange un mare spumeggiante. 

  • Eliminato Game Center: come ampiamente previsto, Game Center è stato ufficialmente rimosso.

  • 3D Touch Estesi: centro di Controllo ora supporta il 3D Touch. E si può usare il 3D Touch anche per abilitare/disabilitare i dati cellulari nelle Impostazioni.

  • Torcia: col 3D Touch si può perfino impostare l'intensità della Torcia quando si abilita il flash dell'iPhone. Ci sono 3 livelli: bassa, media e alta intensità.

  • "Torna a": Apple ha modificato l'icona "Torna a" nella barra in alto quando si passa da un'app all'altra. Ora è molto più visibile.

Ma da questo WWDC 2016 cosa abbiamo imparato?

La marcia Apple verso il futuro pare stia cambiando passo. Con l'integrazione di SDK specifici per Siri e della nuova compatibilità dell'assistente virtuale delle app di terze parti, Apple dà più spazio a queste ultime.

Non si possono ancora modificare le app predefinite, e chissà se mai la compagnia permetterà di farlo sulla sua piattaforma mobile, tuttavia ci sono chiari segnali di apertura.

Oltre alla comodità di liberare spazio dalla Home di iPhone e iPad, la novità può essere molto interessante ai fini degli aggiornamenti delle applicazioni. Ad esempio i team di sviluppo delle varie applicazioni native possono rilasciare un aggiornamento via App Store senza costringere la società a rilasciare un nuovo update plenario di iOS. Questo si potrebbe tradurre in aggiornamenti più veloci e costanti, anche di minore entità, per correggere eventuali bug nel funzionamento o falle di sicurezza all'interno dei software singoli.

La novità non è stata annunciata ufficialmente da Apple nel keynote di apertura, ma è affiorata non appena i primi sviluppatori hanno installato iOS 10 beta 1, pubblicato sul canale dedicato una volta concluso il keynote.

Questi hanno verificato la possibilità di cancellare molte delle app native, azione storicamente non concessa da Apple sui propri dispositivi mobile, e anche alcune fonti d'oltreoceano hanno annunciato la novità. A conferma ulteriore di ciò la presenza di molte app native su App Store per gli utenti che hanno già installato iOS 10.

È comunque da vedere se Apple deciderà effettivamente di mantenere la funzione lungo tutto l'iter di sviluppo di iOS 10 e rilasciarla anche sulla versione finale prevista ad ottobre.
Leggi l'intero articolo

venerdì 10 giugno 2016

"Milioni" di password rubate agli utenti Twitter

Nella giornata di ieri era circolata la notizia del furto di circa 32 milioni di password sottratte agli utenti Twitter e vendute nel mercato nero.


In seguito alla diffusione di tale rumor la compagnia è scesa in campo promettendo un'indagine per verificare quanto accaduto.

E la risposta che non è tardata ad arrivare: per mezzo di una nota divulgata pubblicamente la società ha confermato che il problema è reale, scrivendo che ha iniziato ad avvisare gli utenti i cui account potrebbero essere rimasti coinvolti nel furto di dati inviando loro una richiesta di modifica password per mantenere al sicuro i dati dell'account.

Twitter sottolinea che il furto di nomi utente e password non è avvenuto via attacco diretto ai server della società, ma probabilmente accumulando le informazioni provenienti da altre violazioni effettuate di recente o ottenute installando malware da remoto nei computer delle vittime:

A prescindere dalle origini del fenomeno stiamo agendo rapidamente per proteggere il tuo account Twitter

si legge nella nota pubblicata nelle scorse ore.

Come avvenuto in altri attacchi, la società ha confrontato i dati del furto con quelli proprietari per capire quali e quanti account siano coinvolti.

Al momento non sappiamo quanti siamo gli utenti coinvolti e gli account a rischio, tuttavia la società ha ammesso durante un'intervista con il Wall Street Journal che il numero è nell'ordine dei milioni. 

Twitter sta inviando delle e-mail ai proprietari degli account che potrebbero essere a rischio imponendo loro la modifica della password. Ma l'operazione potrebbe non bastare: come abbiamo scritto giovedì molti utenti utilizzavano password estremamente banali e facilmente individuabili da eventuali utenti malintenzionati con metodologie non troppo complesse o costose.

Twitter dà infatti tre consigli per mantenere al sicuro il proprio account, che possono essere sfruttati anche per altre tipologie di servizi online laddove disponibili:
  1. abilitare la verifica del log-in, come ad esempio l'autenticazione a due passaggi;
  2. utilizzare una password forte, diversa dagli altri siti;
  3. utilizzare un password manager, un software che crea password inespugnabili e diverse per ogni servizio. Nella nota si sottolinea che "la sicurezza degli account è una priorità in Twitter", e che il team di sviluppo utilizza varie pratiche per mantenere i dati degli utenti al sicuro. Fra queste l'uso del protocollo HTTPS su tutte le parti fondamentali e della crittografia bcrypt per i dati d'accesso. In più la società utilizza anche altri dati per verificare l'attendibilità dell'accesso, individuando quelli sospetti ad esempio analizzando i dati di geolocalizzazione del dispositivo e inviando una notifica di modifica password nel caso in cui sia stato verificato un comportamento anomalo.

Insomma, si punta ancora una volta il dito ad inottemperanze da parte degli utenti, i quali continuano a scegliere password con leggerezza anche per proteggere dati molto importanti.
Leggi l'intero articolo

martedì 24 maggio 2016

Attacco Hacking: 1.400 ATM per 11 milioni di euro rubati in 2 ore

Quando si è vittima di un furto online la preoccupazione principale degli utenti è capire come i propri dati possano essere sfruttati online.


Spesso però accade che, con un furto di dati, sia possibile effettuare danni di tipo materiale.

Ne è lampante esempio quello che è accaduto in Giappone, dove il 15 maggio un gruppo di hacker ha coordinato un attacco in 14.000 diverse transazioni sparse per il paese.

Il risultato è stato un prelievo del valore di 11,3 milioni di euro in sole due ore. Secondo le autorità questa gigantesca operazione è stata effettuata da circa 100 individui coordinati tra loro, che si è concentrato principalmente nella città di Tokyo e in 16 prefetture diverse.

Si pensa che il gruppo sia riuscito a venire in possesso dei dati delle transazioni operate su circa 14.000 macchine ATM, usandoli per clonare carte di credito. Sono venuti in possesso così di circa 1600 carte di credito falsificate, sfruttate infine per prelevare il massimo valore consentito per operazione di 100 mila Yen (circa 815 euro).

Le autorità stanno collaborando con l'INTERPOL e altre forze di legge per individuare e colpire i malviventi alla base dell'attacco. Ci sono ancora dubbi sul modo in cui il gruppo sia riuscito ad ottenere i dati, provenienti da account di una banca sudafricana.

Il team ha probabilmente utilizzato dispositivi chiamati "skimmer", che vengono camuffati negli sportelli ATM per leggere e immagazzinare i dati provenienti dalle bande magnetiche delle carte introdotte.

Una volta ottenuti i dati clonare le carte di credito è semplice e poco costoso, soprattutto in relazione alla potenziale portata del furto possibile in seguito. Gli stessi dati possono inoltre essere venduti al mercato nero.

Alcuni team di ricerca hanno cercato di produrre schede non violabili con queste meccaniche, tuttavia pare che il sistema più sicuro per proteggersi dagli skimmer sia quello di interfacciarsi con gli ATM con lo smartphone, ovviamente se è previsto il supporto della funzione.
Leggi l'intero articolo

martedì 10 maggio 2016

OSX: dettatura Hands Free

Avete già testato la dettatura su Mac effettuando il doppio tap sul tasto fn della vostra tastiera? E se ci fosse un modo ancora più immediato (o solo più "figo") per attivarla?


Per ottenere la medesima funzionalità, senza impiegare l'uso delle mani, si potrà ricorrere ad una "parolina magica", una sorta di "Hey Siri" su iPhone e iPad.

Per abilitare la dettatura hands free sarà sufficiente effettuate questi passaggi: 

Aprite Preferenze di Sistema -> Dettatura e Voce


Fate clic su "sì" per la abilitare la Dettatura, e spuntate Usa Dettatura Migliorata


Ora aprite Preferenze di Sistema -> Accessibilità e scorrete l'elenco a sinistra fino a trovare Dettatura. Cliccateci sopra

Fate clic su Abilita frase chiave dettatura e scrivete una frase di default che abiliti la dettatura handsfree. Di default la parola è Computer ma potete scegliere qualunque combinazione


Ora basterà usare quella parola chiave per avviare immediatamente la dettatura. Come vi pare?
Leggi l'intero articolo

mercoledì 27 aprile 2016

AMD e le nuove Console Next-Gen

Lisa Su, CEO di AMD, conferma che l'azienda implementerà proprie tecnologie all'interno di tre console di prossima generazione attese al debutto in tempi relativamente brevi.


Non sono trapelati ulteriori dettagli ma, considerando come questi tre prodotti si andranno ad affiancare alle soluzioni che già AMD ora sviluppa per il mercato delle console,  non è difficile fare qualche supposizione.

La prima è il riferimento a Sony Playstation Neo, nome che attualmente identifica la prossima evoluzione della piattaforma Playstation 4 di Sony con la quale l'azienda giapponese intende incrementare la potenza di elaborazione così da rendere Playstation maggiormente adatta all'utilizzo con display 4K oltre che con visori VR.

Per questo prodotto ci si attende l'utilizzo di un chip che integri componente CPU con 8 core Jaguar di AMD, caratterizzati da una frequenza di clock più elevata rispetto a quella attuale, accanto ad una nuova GPU presumibilmente basata su architettura della famiglia Polaris.

Guardando al futuro è presumibilmente che AMD sia coinvolta anche nei nuovi progetti di Nintendo e Microsoft; per la seconda potrebbe trattarsi di una evoluzione della piattaforma Xbox, anche in questo caso sviluppata per assicurare prestazioni velocistiche più elevate nell'ottica della realtà virtuale e dei nuovi display ad elevata risoluzione. Per la prima, invece, il riferimento è alla console Nintendo NX anche in versione portatile.

Questo rappresenterebbe per AMD un business valutato in circa 1,5 miliardi di dollari di fatturato, da dilazionare nel periodo di produzione di queste nuove console. Numeri interessanti per l'azienda americana che conferma gli sforzi nella direzione di sviluppare un business alternativo a quello delle soluzioni per PC tradizionali, così da meglio diversificare i canali di vendita.
Leggi l'intero articolo

martedì 19 aprile 2016

Russia, USA e Svizzera verso le Memorie Universali

Un progetto di ricerca collaborativa tra il Moscow Institute of Physics and Technology, l'University of Nebraska e l'Università di Losanna ha permesso di far sviluppare una pellicola ultrasottile ferroelettrici su silicio, preparando il terreno alla realizzazione di un materiale adatto alla costruzione di una memoria universale non volatile e per i memristori che possono essere impiegati per la costruzione dei sistemi cognitivi neuromorfici del futuro.


La ricerca di una memoria universale che sostituisca DRAM, SRAM, memorie flash e hard disk è una missione che impegna molti ricercatori a livello mondiale.

Questo particolare progetto si differenzia dai molti altri per il vantaggio di poter realizzare la pellicola ferroelettrica usando strumenti convenzionali, comunemente impiegati nella produzione di componenti elettronici. 

La differenza tra il nostro approccio e altri tentativi di crescere pellicole ultrasottili ferroelettriche, in particolare sul silicio, è che possiamo crescere pellicole di una lega ossida di hafnio e zirconio policristallina (invece che epitassiale) che mantiene le proprietà ferroelettriche fino ad uno spessore inferiore i tre manometri

a spiegato Andrei Zenkevich, responsabile del laboratorio Functional Material and Devices del MIPT. 

La possibilità di rendere questo materiale ferroelettrico compatibile con i substrati di silicio permette di utilizzare i ben collaudati strumenti di produzione CMOS per realizzare giunzioni ad effetto tunnel usando il materiale ferroelettrico.

Usiamo la tecnica Atomic Layer Deposition e usiamo cicli alternati di precursori di hafnio e zirconio, combinati con acqua per crescere un ossido amorfo di hafnio e zirconio con una composizione predefinita

ha proseguito Zenkevich. 

Fino ad ora i ricercatori hanno dimostrato solamente la possibilità di fabbricare e caratterizzare il materiale: il prossimo passo riguarda la costruzione di prototipi da usare per dimostrare che l'effetto tunnel possa essere usato per i chip di memoria reale, a fronte di una teoria già comprovata.

I bit di informazione vengono conservati tramite l'inversione della polarizzazione attraverso lo strato di hafnio-zirconio, che avviene facendo passare attraverso lo strato una corrente nella giusta direzione. 

Il motivo per il quale le giunzioni ad effetto tunnel con un materiale ferrolettrico possano portare ad un tipo di memoria universale è che esse sono molto piccole e possono mantenere il loro valore senza la necessità di consumare enrgia, unitamente al vantaggio di poter essere prodotti con strumenti CMOS convenzionali e di una possibile scalabilità al pari di altri componenti CMOS. 

Saranno necessari ancora diversi anni per confermare tutte queste ipotesi, e per quel tempo si sarà già entrati nell'era del computing cognitivo, dove l'ossido di hafnio-zirconio potrebbe essere il cuore dell'elemento memoria delle sinapsi neuromorfiche.
Leggi l'intero articolo
 
Tecnodiary2 © 2011