Stavo googlando sul tema della sicurezza, quando sono incappato in questa inquietante storia raccontata da Paolo Attivissimo, solitamente ben informato ed a mio parere attendibile, sul sito della Radiotelevisione Svizzera:
Se non avete ancora installato laggiornamento 10.5.1 del programma iTunes di Apple per Windows e MacOS, vi conviene farlo subito, specialmente prima di qualunque viaggio natalizio in paesi esotici in cui portate con voi il computer. Questo aggiornamento, infatti, risolve finalmente una vulnerabilità rimasta aperta per oltre tre anni e particolarmente grave perché consentiva agli aggressori di far arrivare alle vittime un falso aggiornamento di iTunes assolutamente credibile. Ciliegina sulla torta, gli aggressori erano, in questo caso, dei governi, non dei criminali comuni.
Ma il bello deve ancora venire:
Secondo il Wall Street Journal e il ricercatore di sicurezza Brian Krebs, un trojan di sorveglianza basato su questa falla e denominato FinFisher è stato infatti offerto dalla Gamma International UK Ltd ai governi dellEgitto, della Germania e di altri paesi per consentire lintercettazione delle attività informatiche dei sospettati, e non è lunico nel suo genere.
Così, giusto per scrupolo, per prima cosa sono andato a verificare che l’iTunes sui miei Mac fosse aggiornato, hai visto mail.
Per seconda invece sono andato a perfezionare la mia ricerca sul web, per vedere quanti siti parlavano di questa storia, davvero pochi.
Che Attivissimo abbia preso un granchio? Precisino com’è la vedo dura, per carità tutto può essere, e allora il Wall Street Journal, The Register e Der Spiegel?
Io non me la sento di trarre delle conclusioni su due piedi, la faccenda è degna di una spy story, però penso che l’aggiornamento di iTunes a questo punto sia consigliabile, per chi non lo avesse ancora fatto. Hai visto mai…
Però che strano che se ne sia parlato così poco.
Per chi volesse approfondire, il link all’articolo di Paolo Attivissimo su RSI: Apple tura una falla aperta da tre anni e usata dai trojan governativi.
Paolo Attivissimo si è sbagliato a metà: la falla era aperta su Windows, niente su Mac. Riguardava coloro che non avevano installato il software Apple per l’aggiornamento automatico (su Mac ovviamente c’è, e l’aggiornamento si fa tramite quello). Per gli utenti Mac, responsabili e no, questa volta, nulla da temere.
D
Questa affermazione mi lascia perplesso.
Ora non ritrovo il link su due piedi, ma ricordo di aver letto nelle note di sicurezza della nuova versione di iTunes che il problema della falla riguarda anche Mac OS X.
E anche gli altri articoli che ho letto parlano di una falla che riguarda sia Mac che Windows.
rob
rob
E allora ho letto una riga sì ed una no
D
è tutto vero, ne parlano anche qui http://www.tomshw.it/cont/news/apple-chiude-falla-dopo-tre-anni-nel-frattempo-tutti-spiati/34732/1.html
Spy story interessante comunque!
Googlando per “FinFisher” ne trovi comunque un bel po’ di informazioni (e se la storia è vera non è affatto sorprendente che abbiano messo il coperchio sopra, n’est-ce pas?)
http://www.cultofmac.com/132782/if-you-thought-carrier-iq-scandal-was-bad-wait-till-you-see-latest-wikileaks/
Sembra che ci sia anche una bella documentazione su Wikileaks (ma da questa postazione non posso accederci grazie al grande fratello che ho in casa).
Pensandoci un attimo potrebbe comunque anche venirci a chiederci quanto siamo scemi a rincorrere gadget elettronici che ci rendono sempre più vulnerabili allo spionaggio da parte di “big brother” o del mascalzone di turno?
F.
La tendenza criminale e gli investimenti criminali vanno proprio in quel senso.
La black economy che gira intorno alla ricerca di dati privati e informazioni sensibili supera diverse volte il capitale Apple (che sappiamo già non essere da poco).
E ci si sta spostando dall’ambiente Desktop PC a quello Mobile dove ricerche hanno dimostrato ci sia meno attenzione o percezione di vulnerabilità rispetto a quando si usa un computer.
La Blackport di iTunes magari non è volontaria (o non esiste nemmeno…) ma il problema resta e diventerà il PROBLEMA nei prossimi anni.
Se non passano ora da lì possono sempre trovare il sistema di passare al momento che esiste solo una minima vulnerabilità.
Quando capitali, ditte private, governi, ecc. ecc. puntano tutto sul controllo e l’ottenimento di informazioni non ci vuole molto a ottenere risultati.
Il sistema è fragile, molto fragile e si basa su aspetti, protocolli e standard vecchi, troppo vecchi tutto è nato quando ancora una cosa come una Botnet era considerata fantascienza…