Microsoft Edge permette ancora a qualcuno di utilizzare Flash.

by Carmine Bussone

Microsoft Edge lets Facebook run Flash code behind users’ backs

Fino a pochi giorni fa, il browser Edge di Microsoft permetteva ad un gruppo ristretto di siti (58) di utilizzare Flash. Le impostazioni di sicurezza di default normalmente permettono di eseguire il plugin solamente se autorizzato dall’utente.

Un ricercatore di Google ha scoperto il mese scorso che Edge conteneva una lista di domini per la quale non era necessario alcun consenso dell’utente all’esecuzione di Flash che tra l’altro – in questo caso – permetteva anche di sfruttare una vulnerabilità di Adobe.

Fra le url, oltre a MSN, Deezer e altri, c’era anche il sito di un salone di bellezza spagnolo (!).

Attualmente, dopo la segnalazione, Microsoft ha forzato l’uso dell’https e i domini sono diventati due.

Tutti e due appartenenti a Facebook.


j j j

L’ennesima legge fatta male con la scusa della sicurezza.

by Carmine Bussone

In Australia potrebbe essere approvata una legge che consentirebbe alle forze dell’ordine di ordinare il sequestro di informazioni criptate detenute dalle aziende.

In poche parole: se sei un’azienda o uno sviluppatore che ha la possibilità di leggere informazioni criptate a te indirizzate o hai la capacità di decriptare le informazioni che arrivano alle tue piattaforme localizzate in Australia, potresti essere costretto a consegnare tali informazioni alla polizia. Pena multe molto salate o addirittura la galera.

Non è difficile immaginare le conseguenze, sia per la riservatezza che per le aziende che utilizzano crittografia e che si troveranno ad essere molto meno appetibili.

There’s no end to the damage this law could do if there’s even a single corrupt judge, law enforcement agent, or politician on the Australian continent. [Link]

j j j

Un altro bug di Google+

by Matteo Scandolin

Qualche mese fa venne fuori che un bug di Google+ aveva lasciato accessibili i dati privati di mezzo milione di utenti. (Contestualmente, veniva annunciata la fine di Google+.)

Oggi vien fuori un bug che ha reso disponibili i dati di 52 milioni di utenti. Cinquantadue milioni.

The programming interface bug allowed developers to access names, ages, email addresses, occupations, and a wealth of other personal details even when they were set to be nonpublic. [link]

Contestualmente, ha anticipato di qualche mese la chiusura di Google+.

On Monday, Google said it planned to expedite the closure from August 2019 to April.

Sarebbe da riderci sopra, se non fosse atroce.

j j j

I dati di 100 milioni di utenti Quora sono stati compromessi

by Matteo Scandolin

100 milioni di utenti, manco poco. Se hai un account Quora, come minimo cambia la password. Non si sa ancora cos’è successo, stanno ancora indaando.

For approximately 100 million Quora users, the following information may have been compromised:

  • Account information, e.g. name, email address, encrypted (hashed) password, data imported from linked networks when authorized by users
  • Public content and actions, e.g. questions, answers, comments, upvotes
  • Non-public content and actions, e.g. answer requests, downvotes, direct messages (note that a low percentage of Quora users have sent or received such messages)

[link]

j j j

Gli SWATter, presente?

by Matteo Scandolin

Son quei cretini che chiamano le forze di intervento rapido statunitensi (SWAT, come ci insegnano i film) e dicono loro d’intervenire a vuoto, millantando chissà che emergenza pericolosissima e invece mandandoli a sfondare le porte degli appartamenti di gente che non c’entra nulla. Solitamente sono utenti di qualche videogioco di massa online, à la Call of Duty per intenderci.

Tyler Barriss è uno di questi SWATter. Ha causato più di cento interventi inutili della SWAT. L’anno scorso li ha fatti intervenire presso un indirizzo dove pensava ci sarebbe stato un altro giocatore di Call of Duty, e a causa di quest’intervento è morto un uomo di nome Andrew Finch. Barriss rischia venti anni di carcere e, non contento, va su Twitter a minacciare altri interventi della SWAT per cose inutili.

U.S. District Judge Eric Melgren said he would give Barriss a 20-year sentence if he apologized to the Finch family. This may be a difficult proposition considering Barriss accessed the internet in April from jail, writing “I am an eGod” and threatening to SWAT again. [link]

j j j

C’è un problema di Azure e molti utenti Office sono bloccati

by Matteo Scandolin

Uno dei vari prodotti di Microsoft è un sistema di sicurezza multilivello, che consente di tenere al sicuro i propri account utilizzando un ulteriore login attraverso Azure. Che oggi è nel pallone, e un mucchio di utenti di Office 365 sono impossibilitati a entrare nei propri account.

Microsoft’s cloud-based multi-factor authentication services went down across the globe early Monday morning, preventing users who are required to sign in using a second layer of authentication to their account, such as a text message, a push notification on their phone, or a hardware key. You hit the password page, and then you’re stuck — no code, no notification, nothing. [link]

j j j

Fare le pulizie e la privacy

by Matteo Scandolin

Google e iRobot, l’azienda di accrocchi automatici che puliscono i pavimenti da soli, hanno stretto una partenership: sostengono di voler rendere le tecnologie per la casa ancora più intelligenti e complete, utilizzando i dati degli aspirapolveri automatici che, volenti o nolenti, stanno mappando le nostre case.

[Director of Google smart home ecosystem] Michelle Turner stressed that any spatial information shared by iRobot would not be used in Google’s lucrative ad-targeting business. “This data doesn’t help current Google products,” says Turner. “This data is not getting fed into some larger morass of Google information.” [link]

E noi ci crediamo.

j j j

La storia di Bloomberg sull’hacking cinese continua a non convincere

by Matteo Scandolin

Nelle settimane passate non è saltata fuori una prova che sia una a sostegno della loro inchiesta. Nel frattempo, dopo i comunicati stampa che negavano dettagliatamente le accuse, Apple e Amazon hanno pubblicamente chiesto a Bloomberg di rimangiarsi l’articolo.

“There is no truth in their story about Apple,” Cook told BuzzFeed News in a phone interview. “They need to do the right thing and retract it.”

This is an extraordinary statement from Cook and Apple. The company has never previously publicly (though it may have done so privately) called for the retraction of a news story — even in cases where the stories have had major errors or were demonstratively false, such as a This American Life episode that was shown to be fabricated. [link]

Il capo del servizio web di Amazon, AWS, appoggia la posizione di Cook e via Twitter sostiene che

[Tim Cook] is right. Bloomberg story is wrong about Amazon, too. They offered no proof, story kept changing, and showed no interest in our answers unless we could validate their theories. Reporters got played or took liberties. Bloomberg should retract. [link]

Una cosa così non l’avevo ancora mai vista. Sul Washington Post un bell’articolo chiude così:

Bloomberg, on the other hand, gives readers virtually no road map for reproducing its scoop, which helps to explain why competitors have whiffed in their efforts to corroborate it. The relentlessness of the denials and doubts from companies and government officials obligate Bloomberg to add the sort of proof that will make believers of its skeptics. Assign more reporters to the story, re-interview sources, ask for photos and emails. Should it fail in this effort, it’ll need to retract the entire thing.

There’s just too much at stake here. Supermicro’s stock, for starters, took an Acapulco dive following publication of the Bloomberg investigation. It hasn’t much recovered, denials notwithstanding. The company tells the Erik Wemple Blog that it “only became aware of the specifics of these allegations when the article was published.”

So, Bloomberg has some options, none of which is standing pat and hoping that the next Trump scandal distracts the body politic. Your move, Bloomberg. [link]

j j j

Gli hacker han bucato Healthcare.gov

by Matteo Scandolin

E si son presi i file di 75mila persone. Il governo americano ha ammesso la breccia di sicurezza in un comunicato rilasciato il venerdì, il giorno prima del finesettimana. Dimmi tu.

A government system used by insurance agents and brokers to help customers sign up for healthcare plans was breached, allowing hackers to siphon off sensitive and personal data on 75,000 people.

The Centers for Medicare and Medicaid Services confirmed the breach in a late Friday announcement, but revealed few details about the contents of the files stolen. [link]

j j j

Un punto (temporaneo) sulla questione dell’hacking cinese

by Matteo Scandolin

Probabilmente l’avrete letto in giro, negli ultimi giorni: Bloomberg è venuta fuori con uno scoop notevolissimo, se confermato: un’operazione di hacking hardware condotta dall’intelligence cinese ai danni delle aziende di informatica di tutto il mondo, in particolare Apple e Amazon.

È abbastanza credibile, in realtà: visto il tipo di regime, obbligare le aziende che producono hardware ad accettare intrusioni simili (attraverso corruzione o minacce, è poco importante) è relativamente facile.

Bloomberg ha un sacco di fonti, ma tutte anonime: il problema è che le aziende principali, Apple e Amazon, hanno negato dettagliatamente le accuse. Addirittura il Dipartimento della sicurezza interna degli Stati Uniti ha dato ragione alle aziende in questione, assieme al Dipartimento della sicurezza interna del Regno Unito.

Il comunicato di Apple è poi incredibile. Di solito è un’azienda misurata, qui ha lasciato proprio la briglia sciolta:

The October 8, 2018 issue of Bloomberg Businessweek incorrectly reports that Apple found “malicious chips” in servers on its network in 2015. As Apple has repeatedly explained to Bloomberg reporters and editors over the past 12 months, there is no truth to these claims. [link]

Anche l’ultimo avvocato dell’azienda si è espresso in merito, in maniera piuttosto chiara e tirando in ballo l’FBI:

“I got on the phone with him personally and said, ‘Do you know anything about this?,” Sewell said of his conversation with Baker. “He said, ‘I’ve never heard of this, but give me 24 hours to make sure.’ He called me back 24 hours later and said ‘Nobody here knows what this story is about.’” [link]

Amazon non è da meno: il suo comunicato è firmato dal suo dirigente a capo della sicurezza informatica: una mossa che fai quando sei sicuro di non rimetterci la faccia:

At no time, past or present, have we ever found any issues relating to modified hardware or malicious chips in SuperMicro motherboards in any Elemental or Amazon systems. Nor have we engaged in an investigation with the government. [link]

Dal momento che la storia è verosimile, e che sicuramente ci sono stati tentativi simili, non mi sento di tacciarla del tutto di bufala: ma il fatto che le due grandi aziende coinvolte nel pezzo sono anche le due aziende che hanno superato il trilione di dollari di valore di mercato, la questione puzza.

(Il valore di mercato è probabilmente una delle cose che mi interessa di meno, di un’azienda. Ma sicuramente c’è gente, in giro, che può ricavare dei vantaggi – e manco pochi – a manipolare le informazioni su di loro.)

j j j

Trump signs controversial FOSTA-SESTA bill into law

Giovedì scorso il Presidente Trump ha firmato il progetto di legge conosciuto come SESTA-FOSTA (abbreviazione di Stop Enabling Sex Traffickers Act and Allow States and Victims to Fight Online Sex Trafficking Act).

In breve, viene introdotta la responsabilità penale per tutte le piattaforme web che ospitano contenuti che favoriscono, assistono o supportano le attività di prostituzione.

Per evitare problemi, Craigslist ha addirittura eliminato la sezione di annunci personali prima ancora che la legge fosse approvata.

Oltre a importanti conseguenze per la privacy e per la censura che potrebbero operare delle piattaforme sui propri contenuti, c’è anche l’aspetto della compromissione della sicurezza dei sex-worker che utilizzano quei siti web e che potrebbero ricorrere a mezzi meno adatti per continuare a esercitare.

j j j