Ue, info inesatte su acquisto di WhatsApp: Facebook a rischio multa

Facebook si trova ad affrontare una potenziale multa milionaria dopo che l'antitrust europeo ha accusato la società di aver fornito informazioni "inesatte o fuorvianti" in merito alla sua acquisizione per 19 miliardi di dollari di WhatsApp, il servizio di messaggistica influenzato da una backdoor che permetterebbe a Facebook e governi di leggere anche le conversazioni crittografate. La Commissione europea ha ritenuto in via preliminare che nel 2014 l'azienda di Menlo Park abbia fornito informazioni scorrette sulla possibilità tecnica di abbinare i dati dei suoi utenti con quelli dell'app.

Heartbleed usato dalla Nsa, account Facebook non sono stati esposti

La nota vulnerabilità Heartbleed, in grado di penetrare nel sistema di criptaggio Open SSL, oltre a scaternare il panico tra gli utenti, ha scatenato anche una piccola guerra tra la Casa Bianca e Bloomberg. Come riporta Rai News24, l'agenzia ha accusato la National Security Agency (NSA) di essere a conoscenza "da almeno due anni" del bug e anzi di averlo sfruttato a proprio vantaggio per ottenere informazioni dai siti criptati.

La Casa Bianca smentisce Bloomberg: né la NSA né alcuna agenzia americana sapeva nulla del bug prima del 7 aprile, giorno della pubblicazione della notizia. "Se lo avessimo saputo - dichiara - la notizia sarebbe stata trasmessa ai responsabili del sistema Open SSL perchè è interesse nazionale rendere responsabilmente nota l'esistenza della falla piuttosto che tenerla segreta anche se per scopi investigativi o di intelligence".

"Questa amministrazione prende sul serio la sua responsabilità di aiutare a mantenere un Internet aperto, interoperabile, sicuro e affidabile", ha dichiarato Shawn Turner, direttore degli affari pubblici dell'ufficio. "A meno che non vi è una chiara necessità di sicurezza nazionale o di applicazione della legge, questo processo è sbilanciato responsabilmente verso la divulgazione di tali vulnerabilità", ha aggiunto nella dichiarazione via e-mail.

La NSA ha più di 1.000 esperti dedicati a scovare tali difetti mediante tecniche di analisi sofisticate e, molte delle quali classificate. L'agenzia avrebbe trovato Heartbleed poco dopo la sua introduzione, secondo persone vicine alla vicenda, ed è diventata parte fondamentale del toolkit dell'agenzia per rubare password di account e di altre attività comuni. Heartbleed coinvolge anche i router, gli apparecchi dove scorre il traffico Internet.

Facebook ha attivato un potenziamento della protezione nell'ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto. Attualmente il social network non ha rilevato nessuna attività sospetta sugli account Facebook delle persone e continua a monitorare la situazione molto attentamente. E' possibile anche monitorare la situazione delle piattaforme grazie a questo strumento, una specie di check-up.

Fonte: RaiNews24

Via: Bloomberg

Internet Bug Bounty, Facebook e Microsoft pagano per scoperta bug

Tre rivali Internet stanno collaborando per offrire premi o ricompense in denaro, ai ricercatori che trovano vulnerabilità critiche nella tecnologia Web ampiamente utilizzata. Il programma è sponsorizzato da Facebook e Microsoft, con l'assistenza di un esperto di sicurezza di Google, che ha contribuito a sviluppare il programma e siederà sul pannello che valuterà le osservazioni. Gli hacker potranno rimanere anonimi.

Cyber War: hacker cinesi dietro attacchi a Facebook, Apple e Twitter

Il primo bersaglio è stato Twitter, poi Facebook, e infine Apple: i colossi mondiali della tecnologia sono nel mirino degli hacker. L'azienda di Cupertino ha svelato di essere stata attaccata probabilmente dagli stessi pirati informatici che avevano già colpito il social network fondato da Mark Zuckerberg: un numero limitato di Mac dei dipendenti è stato colpito attraverso il programma Java ma "non c'è alcuna prova che dati riguardanti Apple siano stati rubati. Stiamo collaborando con le autorità", rassicura un comunicato. 

Apple ha anche spiegato che il software maligno identificato è lo stesso usato anche negli attacchi ad altre società: una precisazione che arriva nel giorno in cui un rapporto (http://bit.ly/130bpCS) della Mandiant Corporation, società che si occupa di sicurezza informatica, punta il dito contro la Cina e il suo esercito per i cyber attacchi, alcuni dei quali hanno colpito New York Times e Wall Street Journal. Apple ha anche aggiunto che renderà disponibile online un software per impedire ai suoi clienti di essere colpiti da attacchi informatici simili.

Computer finora ritenuti immuni a qualsiasi virus. La vulnerabilità era celata in una falla in una versione del programma Java, di Oracle, impiegato in una applicazione per browser Web. La lista delle aziende americane attaccate si è allungata negli ultimi mesi: uno degli ultimi cyber attacchi è avvenuto nei confronti dell'account Twitter di Burger King, che ieri invece di pubblicizzare hamburger inviava messaggi razzisti. Non sono state risparmiate le agenzie governative: dal Dipartimento di Giustizia alla Fed sono state oggetto dell'attenzione di hacker di recente.

Oracle ha rilasciato gli aggiornamenti per JAVA SE 7 e Java SE 6 (a poca distanza dall'aggiornamento rilasciato da Cupertino sempre per Java) che risolvono il bug sfruttato per compromettere alcuni computer. Oracle raccomanda vivamente a tutti gli utenti Java SE 7 e Java Se 6 l'update a questa nuova versione. Facebook ha reso noto che hacker non identificati, hanno compiuto un sofisticato attacco riuscendo a penetrare nei laptop di alcuni impiegati, anche se non è stata compromessa alcuna informazione relativa agli utenti del social network.

Fonte: TMNews

Via: ANSA

Ricercatore trova vulnerabilità in Facebook Url reindirizzamento aperto

Il ricercatore di sicurezza Rafay Baloch sostiene di aver trovato una vulnerabilità open redirect in Facebook. Per dimostrare la sua scoperte, ha pubblicato un video del proof-of-concept sul suo blog. L'open redirect può essere utilizzato come trucco dai criminali informatici per far credere alle vittime che stanno per visitare un sito web sicuro, quando in realtà stanno venendo indirizzati a un dominio arbitrario.

Al fine di proteggere gli utenti contro gli attacchi che si basano su open redirect, Facebook ha implementato un sistema di sicurezza che avvisa i clienti nel caso in cui essi sono in procinto di visitare un sito potenzialmente dannoso, tuttavia, l'esperto ha individuato un modo per saltare - almeno in parte - questo meccanismo di protezione. Si tratta di una forma di uso illecito particolarmente grave perchè sfrutta la funzionalità del sito.

Quando un utente fa click su un link (incluso in un post o messaggio), Facebook se rileva che l'URL è dannoso, visualizzerà una pagina interstiziale prima che la request del browser rimandi effettivamente alla pagina sospetta. La vulnerabilità che ha scoperto è causata da una debolezza del parametro di filtro e non può essere utilizzato come un reindirizzamento completamento aperto, ma può essere utilizzato soltanto in una certa misura.

I rappresentanti del social network hanno riconosciuto l'esistenza del difetto, ma non è certo se affronteranno la questione nell'immediato futuro. "Questo endpoint contiene un parametro speciale che ne limita l'utilizzo a un numero limitato di computer e utenti, impedendo che venga usato come un completo open redirect", dice Facebook. URL vulnerabile: www.facebook.com/l.php?u=https://rafayhackingarticles.net&h=YAQH4kMuY&s=1.

Via: Rafayhackingarticles

A rischio le credenziali di accesso in Facebook per Android e iOS

Una nuova grave vulnerabilità di sicurezza è stata scoperta in Facebook per Android e Facebook per iOS dallo sviluppatore inglese Gareth Wright. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sono archiviate localmente in chiaro senza alcun sistema di crittografia, per cui risulta molto semplice recuperare questi dati attraverso una connessione USB o tramite applicazioni maligne.

Attacchi email: Adobe raccomanda aggiornamento Flash Player

Una vulnerabilità zero-day che esiste in Adobe Flash Player 11.1.102.55 e versioni precedenti per Windows è attualmente sfruttata dai criminali informatici con metodi ingegneria sociale che spinge gli utenti a fare clic sui link maligni inviati via email. In risposta alla falla che colpisce a quanto pare i clienti solo su Internet Explorer, Adobe ha rilasciato Flash Player 11.1.102.62. La zero-day è in realtà una cross-site scripting (XSS) che può essere utilizzato per eseguire azioni per conto di un utente su qualsiasi sito. 

Questo attacco ha successo solo se la vittima potenziale potrà essere indotta a cliccare sul link progettato in modo intelligente, ma come dimostra la pratica, questo non è un compito difficile per la maggior parte dei criminali cibernetici che operano anche su Facebook. Ci sono rapporti che questa vulnerabilità (CVE-2012-0767) venga sfruttata in modo incontrollato in attivi attacchi mirati progettati per ingannare l'utente a cliccare su un link maligno consegnato in un messaggio di posta elettronica (Internet Explorer solo su Windows). 

Per verificare la versione di Adobe Flash Player installata sul vostro sistema, accedere alla pagina Informazioni su Flash Player , oppure fare clic destro sul contenuto eseguito in Flash Player e selezionare dal menu "Informazioni su Adobe (o Macromedia) Flash Player". Gli utenti di Adobe Flash Player sono invitati ad aggiornare immediatamente l'ultima variante per assicurarsi che siano protetti contro le operazioni maligne. L’update di Adobe Flash Player è stato integrato direttamente nell'ultima versione di Chrome 17.0.963.56. Adobe Flash Player 11.1.102.62 è disponibile qui. Flash Player 11 per Android è aggiornabile direttamente dall’Android Market.

Facebook a caccia di bug paga 40mila dollari agli hacker che li trovano

Ad un mese dal lancio del programma 'Bug Bounty' nell’ambito del quale degli hacker vengono pagati per identificare eventuali difetti nella piattaforma, Facebook ha reso noto di aver sborsato ricompense per oltre 40 mila dollari. Il responsabile della sicurezza di Facebook, Joe Sullivan, ha commentato entusiasta l'iniziativa che ha portato a un miglioramento di molte curve del loro codice di programmazione.

"Oggi sto scrivendo riguardo ad un recente miglioramento, il nostro programma bounty bug, che in breve tempo si è dimostrato prezioso al di là delle nostre aspettative. Assumiamo i migliori e più brillanti programmatori, e abbiamo attuato numerosi protocolli. Anche così, a volte il codice software contiene bug", scrive Sullivan in una nota sulla pagina di sicurezza di Facebook.

"Ci sono bug nel software a causa della complessità del software, - aggiunge Sullivan errori di programmazione, cambiamenti nei requisiti, errori commessi nella gestione dei bug, documentazione limitata o problemi di strumenti di sviluppo software". Per far fronte a questo, Facebook, ha assoldato un ampio numero di ‘esperti in sicurezza’ in oltre 16 Paesi, dalla Turchia alla Polonia, dando ad ognuno 500 dollari a Bug, con un compenso maggiore nel caso dell’identificazione di difetti estremamente compromettenti.

Un cacciatore di bug (bug hunter) è riuscito infatti a guadagnare oltre 7 mila dollari grazie alla segnalazione di ben sei falle diverse, mentre un altro ancora è stato pagato 5 mila dollari grazie ad una segnalazione particolarmente importante per il sito. Joe Sullivan ha avvertito però che ci sono anche molti furbi che inviano segnalazioni fasulle solo per cercare pubblicità.

Facebook lancia il Bug Bounty Program a cerca delle vulnerabilità

Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale pagherà i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Il piano che riguarda il programma di ricompensa per la sicurezza agli hacker whiteat era stato rivelato dal Chief Security Officer della società Joe Sullivan, alla conferenza dedicata alla sicurezza Hack in the Box ad Amsterdam.

Sembra che Facebook sia riuscito finalmente a risolvere i problemi legali che tale sforzo comporta e ha annunciato pubblicamente la disponibilità del programma. L'azienda offre 500 dollari in premi per i rapporti che vengono qualificati. Aderendo al programma è obbligatorio leggere un paragrafo delle policy di divulgazione responsabile:

"Se ci date un tempo ragionevole per rispondere alla vostra segnalazione prima di effettuare qualsiasi informazione pubblica e fate uno sforzo in buona fede al fine di evitare violazioni della privacy, la distruzione di dati e di interruzione o degrado del nostro servizio durante la ricerca, non porterà alcuna querela contro di voi o chiedere l'applicazione della legge per indagare voi". I tipi di vulnerabilità che si qualificano per i premi sono:

cross-site scripting (XSS), cross-site request forgery (CSRF/XSRF) e iniezione di codice remoto. Inoltre, l'exploit deve compromettere l'integrità e la riservatezza dei dati degli utenti di Facebook. Mentre una vincita tipica è di 500 dollari, la ricompensa può essere aumentata in casi particolari, anche se la società non specifica per questo alcun criterio. E' anche interessante notare che solo i residenti dei paesi che non sono sotto le sanzioni degli Stati Uniti possono qualificarsi.