Spazio Sponsor

Zero click

Lo spauracchio di tutte le violazioni informatiche: restare contagiati senza fare nulla.

Zero click e' una di quelle falle informatiche che nessuno vorrebbe mai sapere che esistono.

Il recente malware inserito in Solarwinds, ma anche in vmware e forse altri prodotti, le analisi sono in corso, partono da una azione umana: l'aver scelto di installare un software.

Ma se il software non lo scegli, perche' preinstallato o di sistema ?

Gli iphone dei giornalisti di Al Jazeera sono stati infettati da agenti governativi usando il NSO Group’s Pegasus spyware tramite imessage.

Ebbene si': il messanger di Apple che vale solo per Apple.

Un messaggio inviato, che scompare, mai visto per il ricevente, permette di prendere il controllo del telefono.

Questo dicembre 2020 non brilla per nessun aspetto, ma quello che colpisce e' che, fra qualche anno, avremo dei sistemi informatici che nascono senza connessioni di rete come le conosciamo ora.

Si': l'unica via e' tenere computer offline, con software su rom. Come ai bei tempi. Pronti a premere il tasto play sul registratore ? (i primi Commodore 64). Terneranno le memorie Write once Read many ?

A parte gli scherzi, il problema e' diventato troppo serio per essere sottovalutato.

Non basta piu' spegnere il computer per essere tranquilli. Nemmeno cifrare un hard disk e' una soluzione se poi non posso decrittarlo all'esterno del computer, e allora serve meno.

Quello che manca e' semplicemente l'equilibrio. I consulente non fanno fatica a banalizzare l'insipienza degli utenti finali, ma non e' questo. Potremmo avere soluzioni molto sicure ma sarebbero necessariamente molto complesse e poco intuitive.

Si pensi alla 2FA: autenticazione a due fattori, che spesso sfrutta i telefonini.

Pochi si chiedono quanto sia facile clonare una sim. O come sia facile denunciarne la perdita ... tanto che gli operatori stanno cambiando le procedure. Insomma: gli sms non sono sicuri per nulla, ma il legislatore e alcuni esperti credono che sia l'unica soluzione per gestire la sicurezza: doppia password e su canali diversi. Poi passeremo a tre password (molte banche gia' lo fanno) e il controllo della connessione e dell'hardware usato (e moltissimi operatori gia' lo fanno).

In tutto questo si parla ancora di cookies. Certo, lo strapotere dei pubblicitari e' evidente, ma la soluzione e' agire sui browser e su filtri che bloccano operatori non certificati. Invece di certificare il web basterebbe certificare chi profila gli utenti per motivi promozionale per rivendere a terzi.

Ma no: parliamo ancora di cookies. La protesta di Facebook contro Apple perche' non puo' piu' profilare bene gli utenti andrebbe letta in toto. Facebook, quali dati tratta ? Per quale finalità ? cookies ?

E invece si parla ancora di 2fa in generale, di cookies in generale, e cosi' via.

La sicurezza e' concreta ed e' contestuale.

Gli attacchi zero day sfruttano troppe falle (messaggi nascosti !!!, eseguiti !!! in automatico alla ricezione !!!!) per non sollevare altre riflessioni.

I governi vogliono sapere cosa facciamo con i computer. Da sempre e' cosi' e continuerà ad esserlo.

E' l'essere perennemente sotto controllo di utenti, di imprese, di governi, di giudici che e' una novità di questo secolo. Tutti reputano giustamente di avere buoni motivi per controllare gli altri.

Ma in problemi complessi le ragioni sono complesse. Le soluzioni semplici pero' si faticano ad applicare per troppe ragioni complesse.

Imessage: perche' ha quelle funzionalità ?

Quali tool le sfruttano ?

E se pensate che Raspberry sia il massimo, chiedetevi perche' c'e' installato Chromium e non altri browser.

Zero click, in fin dei conti, puo' essere un semplice bug. Ma sempre piu' spesso sembra un bug messo li' apposta.

Se volete approfondire il mondo dell'autodifesa informatica provate da F-Droid: Brian.

Ho appena citato due app di terzi lontane dalla perfezione. Ma capire come funzionano mostra come il web sta rispondendo a questa voglia di controllo.

Si torna al km0. Informatico.

Vedrete che questa analogia piacerà a molti.

A proposito, devo comprare un altro hd esterno per il backup da tenere offline...

Spataro

21.12.2020 https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/



Partecipa anche tu:
  • Cosa pensi della voce ?
  • Commenta o chiedi:
tutti i dati sono facoltativi e informatici e li usiamo solo per rispondervi. No newsletter. Si applica la privacy policy di IusOnDemand srl.


Ti possono interessare anche:
  • 95351
  • 2020-12-21
  • Zero click
  • Lo spauracchio di tutte le violazioni informatiche: restare contagiati senza fare nulla.

  • Zero click e' una di quelle falle informatiche che nessuno vorrebbe mai sapere che esistono.

    Il recente malware inserito in Solarwinds, ma anche in vmware e forse altri prodotti, le analisi sono in corso, partono da una azione umana: l'aver scelto di installare un software.

    Ma se il software non lo scegli, perche' preinstallato o di sistema ?

    Gli iphone dei giornalisti di Al Jazeera sono stati infettati da agenti governativi usando il NSO Group’s Pegasus spyware tramite imessage.

    Ebbene si': il messanger di Apple che vale solo per Apple.

    Un messaggio inviato, che scompare, mai visto per il ricevente, permette di prendere il controllo del telefono.

    Questo dicembre 2020 non brilla per nessun aspetto, ma quello che colpisce e' che, fra qualche anno, avremo dei sistemi informatici che nascono senza connessioni di rete come le conosciamo ora.

    Si': l'unica via e' tenere computer offline, con software su rom. Come ai bei tempi. Pronti a premere il tasto play sul registratore ? (i primi Commodore 64). Terneranno le memorie Write once Read many ?

    A parte gli scherzi, il problema e' diventato troppo serio per essere sottovalutato.

    Non basta piu' spegnere il computer per essere tranquilli. Nemmeno cifrare un hard disk e' una soluzione se poi non posso decrittarlo all'esterno del computer, e allora serve meno.

    Quello che manca e' semplicemente l'equilibrio. I consulente non fanno fatica a banalizzare l'insipienza degli utenti finali, ma non e' questo. Potremmo avere soluzioni molto sicure ma sarebbero necessariamente molto complesse e poco intuitive.

    Si pensi alla 2FA: autenticazione a due fattori, che spesso sfrutta i telefonini.

    Pochi si chiedono quanto sia facile clonare una sim. O come sia facile denunciarne la perdita ... tanto che gli operatori stanno cambiando le procedure. Insomma: gli sms non sono sicuri per nulla, ma il legislatore e alcuni esperti credono che sia l'unica soluzione per gestire la sicurezza: doppia password e su canali diversi. Poi passeremo a tre password (molte banche gia' lo fanno) e il controllo della connessione e dell'hardware usato (e moltissimi operatori gia' lo fanno).

    In tutto questo si parla ancora di cookies. Certo, lo strapotere dei pubblicitari e' evidente, ma la soluzione e' agire sui browser e su filtri che bloccano operatori non certificati. Invece di certificare il web basterebbe certificare chi profila gli utenti per motivi promozionale per rivendere a terzi.

    Ma no: parliamo ancora di cookies. La protesta di Facebook contro Apple perche' non puo' piu' profilare bene gli utenti andrebbe letta in toto. Facebook, quali dati tratta ? Per quale finalità ? Cookies ?

    E invece si parla ancora di 2FA in generale, di cookies in generale, e cosi' via.

    La sicurezza e' concreta ed e' contestuale.

    Gli attacchi zero day sfruttano troppe falle (messaggi nascosti !!!, eseguiti !!! in automatico alla ricezione !!!!) per non sollevare altre riflessioni.

    I governi vogliono sapere cosa facciamo con i computer. Da sempre e' cosi' e continuerà ad esserlo.

    E' l'essere perennemente sotto controllo di utenti, di imprese, di governi, di giudici che e' una novità di questo secolo. Tutti reputano giustamente di avere buoni motivi per controllare gli altri.

    Ma in problemi complessi le ragioni sono complesse. Le soluzioni semplici pero' si faticano ad applicare per troppe ragioni complesse.

    Imessage: perche' ha quelle funzionalità ?

    Quali tool le sfruttano ?

    E se pensate che Raspberry sia il massimo, chiedetevi perche' c'e' installato Chromium e non altri browser.

    Zero click, in fin dei conti, puo' essere un semplice bug. Ma sempre piu' spesso sembra un bug messo li' apposta.

    Se volete approfondire il mondo dell'autodifesa informatica provate da F-Droid: Brian.

    Ho appena citato due app di terzi lontane dalla perfezione. Ma capire come funzionano mostra come il web sta rispondendo a questa voglia di controllo.

    Si torna al km0. Informatico.

    Vedrete che questa analogia piacerà a molti.

    A proposito, devo comprare un altro hd esterno per il backup da tenere offline...

  • https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/
  • https://www.civile.it/internet/images/20202020-12-21_103800.jpg
  • Valentino Spataro
  • citizenlab
  • dizionario,sicurezza,vulnerabilit√†,virus,malware,trojan
  • S
  • -
  • -
  • 0
  • Ilaw - Lavorare con internet
  • 2
  • 0
  • N
  • -
  • 1159
  • -
  • 0
  • -
  • -
  • -
  • -