28 feb 2014

Security update Apple OSX

E' finalmente arrivato il security update OSX che corregge il famigerato #gotofail.

Usiamolo come esperimento per vedere come se la cava la Apple con la sicurezza informatica. L'update rimanda a questo link, che a sua volta rimanda a questa pagina con l'elenco delle vulnerabilità fixate. Vediamole, una per una, grazie a una ricerca sul database NIST. (Tra l'altro, ci sarebbe voluto poco ad Apple per mettere un link direttamente nella loro pagina, ma non l'hanno fatto)
CVE-2013-1862 - pubblicata il 10 Giugno 2013 - (Assigned 20130219)(*)
CVE-2013-1896 - 10 Luglio 2013  - (20130219)
CVE-2013-5179 - 24 Ottobre 2013 - (20130815)
CVE-2014-1254, CVE-2014-1262, CVE-2014-1255, CVE-2014-1256, CVE-2014-1257, CVE-2014-1258, CVE-2014-1261, CVE-2014-1263, CVE-2014-1265, CVE-2014-1259, CVE-2014-1264, CVE-2014-1260, CVE-2014-1252, CVE-2014-1246, CVE-2014-1247, CVE-2014-1248, CVE-2014-1249, CVE-2014-1250, CVE-2014-1245 - 27 Febbraio 2014 - (20140108)
CVE-2014-1266 (gotofail) - 22 Febbraio 2014 - (20140108)
CVE-2013-6629 - 19 Novembre 2013 - (20131105)
CVE-2013-5139 - 19 Settembre 2013 - (20130815)
CVE-2013-5178 - 24 Ottobre 2013 -  - (20130815)
CVE-2013-5986, CVE-2013-5987 - 21 Gennaio 2014 - (20131002)
CVE-2013-4073, CVE-2013-4248 - 18 Agosto 2013 - (20130607)
CVE-2013-4113 - 13 Luglio 2013 - (20130612)
CVE-2013-6420 - 17 Dicembre 2013 - (20131104)
CVE-2011-3389 - 6 Settembre 2011 - (20110905)

(*)E' interessante notare che il gotofail ha un numero di CVE più alto di quelli pubblicati il 27/2 ma una data di pubblicazione antecedente, il che significa che i precedenti erano stati riservati da Apple quando questa era venuta a conoscenza del bug o, più probabilmente, aveva già una fix quasi pronta: la copia CSV del database del NIST (evidentemente non aggiornatissima) li elenca ancora come "** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem" e li etichetta come "Assigned (20140108)".

I dati ci dicono che:
- questa patch ha fixato 33 vulnerabilità
- di cui 19 non pubblicate prima d'oggi
- di cui la più vecchia risale al 2011!
- lasciando vulnerabili i propri utenti per, mediamente, 82 giorni (togliendo i CVE annunciati ieri e quello del 2011: 137 giorni, cioè più di quattro mesi), considerando le date di pubblicazione. (Considerando invece le date di "Assigned", sono rispettivamente 139 e 222 giorni).


26 feb 2014

failed technologies

Qualche giorno fa ho visto un meme che diceva "Ho appena inserito l'USB giusto al primo colpo. Niente potrà fermarmi, oggi!" e in effetti mi ha fatto riflettere sul fatto che vorrei prendere a ceffoni quello che ha inventato questo connettore. Come è noto, per inserire correttamente un cavo USB nel suo alloggiamento, sono necessari tre tentativi: 1) ci provi, non va; 2) lo giri e riprovi, non va; 3) lo rigiri: entra.
Voglio dire, abbiamo mandato l'uomo sulla Luna: quanto può essere difficile creare un connettore che si può inserire in qualunque verso? (evitiamo in questa sede ogni commento sulla delirante proliferazione di connettori e versioni di USB).
Troppo complicato creare un connettore universale? OK, allora facciamo le prese auto-sense. Ci sono arrivati persino quelli di Ethernet, così non bisogna più preoccuparsi se il cavo è dritto o incrociato!
Ah, a proposito, tutti ovviamente conoscete questo:
Sì, è lui, un cavo ethernet nel suo stato naturale: rotto.
Anche qui, avrei due paroline da dire a chi ha progettato quella ridicola linguetta, che si impiglia nei vestiti, nei fili, all'interno dello zaino, in tasca, nel suo stesso cavo, e si stacca, o, ancora più diabolicamente, spesso si rompe senza staccarsi, così da continuare a dar fastidio senza apportare alcuna utilità.
Il fatto che negli anni siano state provate miriadi di varianti alla malefica linguetta ma nessuna di queste sia riuscita a soppiantarla dovrebbe suggerirci che il problema è fondamentalmente irrisolvibile. E' incredibile come l'intera Internet sia stata praticamente fondata su un connettore così disgraziato.

Se lavorate nell'IT, provate a sommare il tempo che avete perso cercando di infilare correttamente un cavetto usb: probabilmente si tratta di ore, giorni interi della nostra vita, buttati, irrimediabilmente persi. E tutte le volte che un cavo di rete o un cavo console si è scollegato a causa della malefica linguetta? e tutte le volte che siamo stati costretti a equilibrismi alla cirquedusoleil per mantenere in posizione il cavo col connettore rotto? il tempo perso per tutti i file transfer interrotti al 98% per colpa del demente che ha progettato questo ridicolo oggetto?

Perché dobbiamo essere schiavi di queste invenzioni sbagliate?


PS: Morpheus ha un consiglio da darci. Ma, puntualmente, ci ricordiamo delle sue sagge parole solo dopo il fatidico terzo tentativo.

18 feb 2014

Altro che agenda digitale

Ho visto questa pagina che spiega come acquistare tramite SMS i francobolli delle poste svizzere, e ho ripensato ieri in posta. Dovevo pagare un bollettino postale a Wind, la società di telecomunicazioni. Sì, un bollettino postale: non c'è modo di pagare con un bonifico bancario, o con carta di credito, lasciamo stare Paypal. Tramite il sito della mia banca posso pagare i bollettini postali, quindi ci provo: no! "questo c/c postale non permette i pagamenti online"; voglio dire, il c/c di Wind, mica di Giggi Er Robbivecchi. Su poste.it neanche a parlarne, in quanto la funzione di pagamento dei bollettini è disponibile, a quanto pare, solo ai correntisti delle Poste stesse. Mi reco quindi all'ufficio postale, dove durante la consueta mezz'ora di coda posso osservare la solita fauna di vecchiette e immigrati che prelevano o depositano mazzi alti tre dita di biglietti da 50 Euro e impiegati/e che arrivano con decine e decine di buste sotto il braccio per farsele affrancare e spedire, perché ovviamente non c'è modo di comprarsi i francobolli da soli, visto che A) sul sito una volta era possibile comprare i francobolli (non trovo più la pagina, ora), ma i tagli in vendita corrispondevano solo alle tariffe più comuni ed era impossibile, ad esempio, comporre qualunque tariffa per l'estero; e B) i tabaccai sono troppo impegnati a vendere schedine e grattaevinci per occuparsi anche di tenere più di qualche spicciolo in francobolli. Macchinette self-service per stamparsi i francobolli? sistemi basati su codici one-time come quello svizzero? ma scherziamo!?

E intanto c'è chi continua a parlare di Agenda Digitale come se fosse una cosa seria.

16 feb 2014

Ancora due parole su Apple e sicurezza

Perché leggendo qua e là ho trovato un articolo che dice le stesse cose che penso io, e quindi la cosa mi consola. Sophos: "How secure are Apple's iPhone and iPad from malware, really?", il cui punto chiave è che "Jailbreaking is accomplished by exploiting security vulnerabilities in iOS. The same exploits used to jailbreak (an arguably legitimate hack) could just as easily be used to infect an iOS device with malware". E, riferendosi a punti che toccavo nelle mie precedenti osservazioni, dice che "we should be congratulating Apple, but not for the lack of iOS malware. Rather, Apple should be commended for keeping the App Store relatively safe. I say "relatively safe" because security researcher Charlie Miller has previously figured out how to break the App Store anti-malware model using a flaw in the iOS code signing enforcement mechanism, and there have been reports of developers working around other App Store restrictions with clever tricks".
Riassumendo, "Apple still has a long way to go in making the iOS platform more secure, for example not making users wait months for security patches".
Alcuni interessanti articoli che ho (ri)trovato a proposito:
questa discussione sui forum Apple

Ah, ecco, una cosa c'è di cui sicuramente complimentarsi con Apple: la loro eccellente macchina di marketing.

A questo proposito, ho trovato un esemplare articolo semiufficiale che, appunto, ben descrive i trucchi verbali a cui Apple ricorre per dare ai propri utenti un falso senso di sicurezza: Viruses, Trojans, Malware - and other aspects of Internet Security. Cose come "Using the strict definition of a computer virus, no viruses that can attack OS X have so far been detected 'in the wild'": e questo dovrebbe tranquillizzarmi? Si noti come, grazie ad alcune superbe arrampicate sugli specchi, Apple riesca a pubblicare un articolo fondamentalmente corretto nei contenuti ma che gioca continuamente su affermazioni come "it is a fairly safe bet that your Mac will NOT be infected by a virus" che oltre ad essere poco più che aria fritta, contribuiscono a perpetuare, nella mente degli utenti meno esperti, il mito del "sistema unix-based che quindi non può essere infettato da virus". Menzione speciale per la conclusione dell'articolo, vero capolavoro di trash: "Some Windows PCs can be infected with viruses during the manufacturing process in the factories - in other words they can actually be purchased with viruses bundled with the operating system! [...] This does not happen with Apple computers!". Fatemi capire: in base a cosa in particolare dovremmo essere sicuri che nelle fabbriche che costruiscono i Mac questi non vengano infettati di malware come invece accade nelle fabbriche che costruiscono i PC su cui poi viene installato Windows?
Ora, se vogliamo parlare di sicurezza informatica, facciamolo attenendoci ai fatti e senza tirare in ballo vaghi concetti di "fiducia" (Apple che dice "cose di questo genere non capitano nelle fabbriche Apple!") che somigliano più a credenze religiose che altro.


edit: Paolo Attivissimo santo subito: "Nonostante ripetuti incidenti, come Flashback, continuo a vedere tanti utenti di computer Apple che credono ancora che non esistano attacchi informatici per chi usa OS X: sarebbe ora di smontare questo mito una volta per tutte."

edit2: "An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS"

edit3: "New iOS flaw makes devices susceptible to covert keylogging".

Downgrade iOS

In poche parole: non si può fare. Se anche voi siete tra quelli che hanno avuto la malaugurata idea di aggiornare l'iPad2 ad iOS7 e adesso, oltre a odiare le nuove icone e animazioni, siete anche alle prese coi fastidiosi ritardi e "lag" che sono apparsi qua e là nel sistema, sappiate che no, non è possibile tornare ad iOS6.
Se si potesse fare, si farebbe così, con i file ipsw. Peccato però che il risultato sia questo:



Sorgono un paio di considerazioni.
In primo luogo, ritengo che sia un diritto dell'utente quello di poter riportare l'apparato almeno alla release presente al momento dell'acquisto, e in generale ad ogni release supportata nel frattempo. Col modello Apple, invece, l'utente è in balia di eventuali bug introdotti da una release o da una patch fino a quando non viene rilasciata una nuova release che li corregge; e considerando che Apple ha rilasciato ben 4 minor release di iOS7 in 4 mesi non posso che pensare che il processo di bug discovery e fixing sia tutt'altro che perfetto.
Secondo, basta fare una veloce ricerca su Google per vedere che non sono pochi gli utenti che si lamentano della lentezza introdotta da iOS7 sugli iPad non di ultima generazione; in rete si trovano alcuni suggerimenti per attenuare i problemi, come a) spegnere e riaccendere l'apparato; b) resettare o fare un "clean install" di iOS7; c) disabilitare gli effetti grafici come il parallasse e simili. Come però rilevano alcuni utenti in rete, è evidente che le differenze di prestazioni non sono dovute all'inadeguatezza dell'hardware: su iPad2 continuano a girare senza problemi giochi e app che richiedono molte più risorse di sistema di quelle necessarie al paio di semplici animazioni introdotte da iOS7; mi pare quindi una cosa gravissima che Apple abbia introdotto volutamente dei peggioramenti nella qualità del proprio sistema operativo, probabilmente con la speranza di spingere gli utenti meno avveduti all'acquisto dell'iDevice di ultima generazione. Ciò che mi consola è che -così a occhio- il piano non sta avendo il successo sperato. Speriamo che gli serva di lezione.

11 feb 2014

Assolutamente no

"Assolutamente no", non devi installare un antivirus sui dispositivi Apple. Questo il consiglio del giornalino pubblicitario della catena Saturn che mi sono trovato nella casella della posta un paio di giorni fa.
Il problema di queste affermazioni perentorie è che alimentano luoghi comuni e false convinzioni che poi, trattandosi di sicurezza informatica, si rivelano puntualmente molto pericolose. Per anni ci siamo dovuti sorbire la cantilena di "non c'è bisogno di antivirus su Linux, perché i virus su Linux non esistono e Linux non può prendere virus" e nonostante oggi, vent'anni dopo, i malware e le vulnerabilità software non facciano alcuna distinzione tra sistemi operativi, stiamo ancora facendo i conti coi danni causati da questi pregiudizi.
Ovviamente, ciò che sfuggeva ai fanatici Linux vent'anni fa e sfugge oggi ai fanatici Apple è che, certo, su *nix o OSX o iOS non ci sono gli stessi "virus" che si diffondono su Windows, ma questo non vuol dire che non ci siano altri tipi di bachi software o tecniche di social engineering che permettano ai malware di diffondersi.
Ma pazienza, non c'è nulla da fare: il messaggio che viene comunicato da "no, assolutamente, no, non è necessario installare un antivirus sui prodotti Apple" è in realtà che "sui prodotti Apple non è necessario preoccuparsi della sicurezza".
Purtroppo non è così: la sola esistenza dei software di jailbreak per iOS dimostra che i "buchi" ci sono eccome, ma nessuno si preoccupa della cosa. Il malinteso purtroppo viene alimentato continuamente in quasi tutte le sedi, come questo articolo di corrierecomunicazioni.it che riporta i risultati di un'indagine di Alcatel-Lucent: "I dispositivi Android hanno rappresentato il 60% del totale delle infezioni sulla rete [mobile], [...]. Nel complesso, il 40% del software maligno su dispositivi mobili proviene da computer portatili Windows collegati in modalità tethering ad un cellulare oppure [...] sempre collegati alla rete mobile. Le infezioni su terminali iPhone o BlackBerry rappresentano meno dell’1% di quelle registrate." I luoghi comuni esposti in maniera poco chiara non tardano ad arrivare: "Normalmente gli attacchi criminali si dirigono sui bersagli più facilmente alla portata" dice "Kevin McNamee, architetto per la sicurezza e direttore dei Kindsight Security Labs di Alcatel-Lucent". Cosa significa realmente (sempre che sia ciò che è stato effettivamente detto) "più facilmente alla portata"? L'utente medio legge una frase del genere e compie il sillogismo errato "dispositivi più colpiti = dispositivi meno sicuri". Un raggio di luce può emergere da una lettura attenta della frase seguente: "Non solo Android rappresenta la più vasta base di smartphone sul mercato ma, a differenza degli ambienti iPhone e BlackBerry, permette di scaricare app anche da siti di terze parti. Ciò fornisce ai cyber-criminali un meccanismo non vigilato che facilita la distribuzione del loro malware". Se notate, non si fa cenno alla sicurezza intrinseca dei vari OS, ma si enuncia semplicemente che A) Android è l'OS mobile più diffuso e B) è possibile installare software Android da sorgenti diverse dal produttore dell'OS. Quest'ultimo punto può piacere o non piacere, ma non ha niente a che vedere con la sicurezza del sistema operativo o la presenza in esso di eventuali bachi.

edit: Bitcoin, nel mirino degli hacker i Mac Apple.