https://www.claudioini.it/blog/

Falla nel kernel Linux, a rischio le connessioni su 1,4 miliardi di Android

La vulnerabilità permette a malintenzionati di inserirsi tra gli utenti e i siti che visitano, ma i rischi per il grande pubblico sono limitati. Ecco perché.

Cerchiamo di abituarci: di vulnerabilità all’interno di Android ne esistono già numerose, e continueranno a esserne scoperte. Sarebbe illogico che il sistema operativo mobile più usato del mondo non si attirasse le attenzioni indesiderate di hacker malevoli — migliaia di occhi a scrutarne il codice sorgente per trovarvi una falla. L’ultima scovata in ordine di tempo risiede nel kernel Linux dal quale Android discende: si tratta di un bug che affligge gli smartphone e i tablet con installate le versioni di Android dalla 4.4 (Kitkat) in su.

Attraverso questa vulnerabilità diventa possibile per un utente malintenzionato inserirsi all’interno di una connessione tra un utente e qualunque servizio, sito web o piattaforma di messaggistica quest’ultimo stia cercando di raggiungere, terminandone la connessione.

Non solo: se il collegamento tra i due soggetti non è sottoposto a crittografia, l’attaccante ha modo di iniettare codice arbitrario nella connessione. Gli scenari di sfruttamento di una vulnerabilità del genere sono numerosi: un attaccante può ad esempio intercettare il tentativo di collegamento di un utente a un determinato sito web, fingersi il sito in questione e presentare al suddetto una finta schermata di autenticazione per tentare di estorcergli nome utente e password relativi al suo account.

La prospettiva è preoccupante: i dispositivi Android afflitti dal problema potrebbero essere fino all’80% del totale, circa 1,4 miliardi. Per fortuna però il danno reale per il grande pubblico è limitato, poiché un attacco del genere si porta a segno seguendo criteri che rendono complicata la pesca a strascico. Bisogna innanzitutto prendere di mira un singolo utente, conoscere i siti ai quali si collega abitudinariamente e intercettare la connessione a uno di questi, sperando che le comunicazioni avvengano in chiaro; senza conoscere i due capi del collegamento, infatti, è impossibile inserirvisi. Non è finita: a questo punto occorre ricreare una copia fasulla della pagina autentica, tramite la quale richiedere le informazioni di login all’utente ignaro.

Il rischio resta però elevato per soggetti messi accuratamente al centro del mirino da organizzazioni, governi, stalker o malintenzionati che sanno quel che stanno cercando. La soluzione per loro è abilitare la crittografia per i siti e i serviziche la supportano e nascondere le proprie attività sensibili dietro una VPN in attesa che la falla venga sistemata da Google e dai produttori di smartphone tramite aggiornamento.

(Credits: wired.it)

Postato alle 07:08

Commenti

kernellinuxfalla

https://www.claudioini.it/blog/

Il bug di Linux mette a rischio le comunicazioni TCP

I ricercatori hanno identificato una vulnerabilità introdotta nelle specifiche (relativamente) recenti del protocollo TCP. Un baco di quelli sistemici, pericoloso e che consiglia l'aggiornamento immediato del kernel del Pinguino.

Una specifica introdotta da qualche anno nello standard TCP ha reso il protocollo vulnerabile a un attacco di tipo side-channel, una minaccia resa ancora più pericolosa dal fatto che non ci vuole granché per metterla in atto. Basta sostanzialmente instaurare una comunicazione in rete per candidarsi a diventare una potenziale vittima dei cyber-criminali.

Presentata in occasione del 25esimo Simposio USENIX di Austin, in Texas, la vulnerabilità CVE-2016-5696 coinvolge un gran numero di dispositivi che fanno uso di un sistema operativo basato sulla versione 3.6 del kernel di Linux (introdotta nel 2012) e release successive.

Un malintenzionato potrebbe sfruttare il baco per identificare la numerazione dei pacchetti di dati trasferiti tramite protocollo TCP, avendo cura di essersi procurato il paio di indirizzi IP (di client e server) necessari a condurre l'attacco.L'identificazione della sequenza nel trasferimento dei pacchetti TCP può poi essere utile per tenere traccia delle abitudini di navigazione dell'utente, terminare le connessioni già stabilite, compromettere le suddette connessioni con dati fasulli o malevoli, terminare le comunicazioni cifrate (su HTTPS) e persino compromettere l'anonimato della rete Tor con la redirezione del traffico attraverso relay specifici.

Un attacco capace di prevedere la sequenza dei pacchetti TCP è una minaccia estremamente seria, avvertono gli esperti, un problema che era molto comune soprattutto in passato (negli anni ‘90) e che minaccia ogni genere di dispositivo connesso alla rete vista la pervasività del kernel del Pinguino.

Fortunatamente per gli utenti, ma anche per i servizi e i siti telematici, la community di Linux è stata avvertita per tempo dell'esistenza della falla e una patch è stata introdotta a partire della prossima versione del kernel.

(Credits: puntoinformatico.it)

Postato alle 10:28

Commenti

bugtcplinux

https://www.claudioini.it/blog/

Ubuntu 16.04, Linux con un pizzico di OpenZFS

Canonical ha rilasciato l'ultima release del suo sistema operativo open source. Nuova gestione delle app nel sandbox, e qualche dubbio sulla licenza del nuovo file system supportato.

Ubuntu Linux arriva alla release 16.04, versione anche nota come “Xenial Xerus” e caratterizzata dal supporto esteso (LTS) garantito per cinque anni dalla distribuzione. Xenial Xerus è ideale per il cloud e il software virtualizzato, sostiene Canonical, anche se i possibili problemi (soprattutto sul fronte legale) non mancano.

Le novità di Ubuntu 16.04 includono il supporto ai package “snap”, una nuovo modo di gestire l'installazione delle applicazioni che risultano isolate dal resto del sistema: in questo modo utenti e sviluppatori non dovranno preoccuparsi del potenziale impatto di un software sull'altro e potranno gestire più agilmente il ciclo di aggiornamento.

Un altro componente tecnologico che per Canonical favorisce l'adozione di Ubuntu in ambito cloud e virtualizzato è poi la versione open source di ZFS, file system evoluto dalla storia travagliata originariamente sviluppato da Sun per Solaris e poi rinato come fork open source sotto la bandiera del progetto OpenZFS. ZFS è parte file system, parte manager di volumi che permette di gestire in maniera efficiente gli snapshot, la clonazione e il controllo “continuo” dell'integrità dei file, con tanto di protezione dalla corruzione dei dati, compressione e sistema automatico di riparazione del file system.Più che tecnologici, in realtà, i problemi di ZFS potrebbero essere soprattutto legali: OpenZFS non è stato fin qui distribuito con alcun sistema Linux commerciale, visto che il codice è distribuito con una licenza generalmente considerata incompatibile con la licenza GNU-GPL tipica del mondo Linux.

(Credits: puntoinformatico.it)

Postato alle 07:40

Commenti

ubuntu 16.04linux

https://www.claudioini.it/blog/

Windows 10, Bash per Insider

Microsoft fornisce un assaggio di quella che sarà una delle novità più importanti del prossimo upgrade di Windows 10, una funzionalità specificatamente pensata per gli sviluppatori e ora disponibile in beta.

Microsoft ha rilasciato la nuova build provvisoria di Windows 10 ai partecipanti del programma Insider, una release che si rivolge agli early adopter interessati a testare con largo anticipo le novità che caratterizzeranno l'aggiornamento noto come “Anniversary Update” in arrivo questa estate per le versioni commerciali dell'OS “universale”.

La Insider Preview Build 14316 di Windows 10 è stata distribuita nel canale “Fast” del programma Insider, e tra le molte novità incluse nel codice spicca sicuramente la prima implementazione pubblica della shell Bash ricavata dal sistema operativo Ubuntu Linux.

Il recente annuncio dell'arrivo di Bash e relativo sottosistema Linux (Windows Subsystem for Linux o WSL) su Windows 10 ha generato un bel po’ di discussioni nella community FOSS e non, e ora gli utenti interessati potranno verificare con mano quali sono le intenzioni concrete di Microsoft in merito all'integrazione di pezzi importanti di Linux sul suo nuovo Windows.

La shell Bash è una funzionalità espressamente indirizzata agli sviluppatori, e come tale necessita di un processo di installazione un po’ più complicato rispetto allo standard del software mainstream - inclusa la configurazione di Windows 10 in modalità “developer”. Un tutorial illustrato è stato messo online da Dustin Kirkland, membro del team Product and Strategy di Ubuntu per Canonical.

L'azienda britannica si sta spendendo non poco per l'integrazione dei componenti di Ubuntu su Windows 10, e la community dell'open source sembra rispondere bene alla prospettiva di testare il tutto.

Tornando alla nuova build Insider di Windows 10, infine, oltre a Bash le novità includono una versione migliorata di Cortana e delle estensioni del browser Edge, un nuovo tema “dark” per l'intero OS, un nuovo set di emoji con supporto ai diversi toni della pelle e altro ancora.

(Credits: puntoinformatico.it)

Postato alle 08:08

Commenti

windows 10bashlinuxshell

Custom Post Images

se vuoi offrirmi un caffè per la manutenzione di questo sito!

© 2015 Claudio Fabbrini | Sviluppo Software e APP iOS - Android | Contattami