Sono disponibili al pubblico le nuove versioni dei principali sistemi operativi per computer, ossia Windows 11 e Mac OS 12 Monterey.

Una volta tanto non è urgente installarli: non introducono miglioramenti importanti della sicurezza, perlomeno per l’utente comune, per cui aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è fretta: Windows 10 continuerà a essere supportato fino a ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero sistema), controllate che le applicazioni che usate e il vostro hardware siano compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei computer non particolarmente potenti o recenti non sembrano causare rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design molto pulito, che però ha una scelta probabilmente controversa: il pulsante Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se con alcune limitazioni hardware e geografiche. C’è una gestione più potente dei monitor multipli e delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un problema serio dei nuovi Mac con la tacca per la webcam:

WTF HAHAHAHA HOW IS THIS SHIPPABLE? WHAT IS THIS?! pic.twitter.com/epse3Cv3xF

— Quinn Nelson (@SnazzyQ) October 26, 2021

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive: Howtogeek, Gizmodo.

Il 7 settembre scorso Microsoft ha pubblicato un advisory che mette in guardia contro documenti Microsoft Office alterati per trasformarli in vettori di attacchi informatici. Questa tecnica di attacco viene già sfruttata attivamente dai criminali informatici per colpire gli utenti Windows.

La vulnerabilità in questione, la CVE-2021-40444, si basa su un difetto presente in MSHTML/Trident, il motore di rendering usato dall’obsoleto Internet Explorer e oggi utilizzato da Office per visualizzare i contenuti Web nei documenti Word, Excel e PowerPoint.

Se si apre con Microsoft Office su Windows un documento Office alterato in questo modo (includendovi un controllo ActiveX), l’aggressore che ha inviato il documento può prendere il controllo del computer della vittima, perché il motore di rendering esegue il codice ActiveX con gli stessi privilegi dell’utente. Il codice ActiveX usa questo potere per scaricare e installare un malware scelto dall’aggressore.

La vulnerabilità è insomma potenzialmente molto seria, ma va detto che se Microsoft Office viene usato con le sue impostazioni predefinite l’attacco non va a segno perché i documenti scaricati da Internet vengono aperti in Visualizzazione protetta o in Application Guard e quindi non possono accedere alle risorse trusted del computer attaccato. L’attacco non ha effetto su chi usa Microsoft Office su Mac ma riguarda tutte le versioni di Windows dalla 8.1 alla 10.

Defender, l’antivirus di Microsoft, già riconosce i documenti-trappola che sfruttano questa vulnerabilità, e lo stesso fanno i principali antivirus di altre marche, se li aggiornate.

Dovrebbe uscire a breve un aggiornamento di sicurezza che correggerà la falla, ma nel frattempo Microsoft consiglia a tutti non solo di aggiornare il proprio antivirus ma di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer (nel modo spiegato nell’advisory) per contenere i danni di un eventuale attacco. Un altro consiglio è non usare un account Windows che abbia privilegi di amministratore, non disattivare la Visualizzazione protetta per nessun motivo e non aprire documenti Office inattesi, ricevuti via mail o scaricati da siti Internet non fidati.

Tutte cose ovvie, in linea di principio, ma purtroppo molti utenti non rispettano questi principi e poi finiscono per essere scottati. 

Fonti aggiuntive: The Hacker News, Cybersecurity360.it, Sophos, Tripwire.

Windows 11 offrirà una nuova interfaccia, funzioni di gioco migliorate e un app store che includerà sia applicazioni Windows tradizionali, sia applicazioni Android. Sì, perché Windows 11 potrà far girare anche le applicazioni Android dello store di Amazon. Se sentite il bisogno di avere TikTok sul vostro computer, potrete farlo.

Non correte a cercare di installarlo: Microsoft prevede di offrire Windows 11 “a inizio 2022” come scaricamento gratuito e che i PC con Windows 11 preinstallato siano disponibili “nel corso dell’anno”, anche se sono già in circolazione copie molto, molto preliminari. Attenzione, come al solito, a fidarvi di fornitori sconosciuti. 

Questo è Windows 11 nella sintesi di due minuti e 42 secondi preparata da Microsoft:

Prima di pensare di installare Windows 11 sul vostro computer attuale, usate questa app (Controllo Integrità) per sapere se è compatibile. Poi, se proprio non resistete all’attesa e volete sperimentare le anteprime che saranno disponibili tra pochi giorni, potete iscrivervi al programma Windows Insider. Attenzione: queste anteprime sono appunto sperimentali, vanno usate con cautela e non sono consigliate come ambiente di lavoro. Meglio aspettare; tanto Windows 10 resterà supportato fino al 2025. 

Però mi raccomando: aspettare non significa continuare a usare Windows 7.

Fonti aggiuntive: Ars Technica, Punto Informatico.

 

Microsoft ha rilasciato un aggiornamento che risolve una falla, denominata SigRed, presente in Windows da ben 17 anni. Denominata CVE-2020-1350, riguarda principalmente i server, non i computer personali, ma è comunque importante da conoscere per tutti e l’aggiornamento correttivo va installato appena possibile usando la consueta procedura (Windows Update).

La falla riguarda il DNS, o Domain Name System, vale a dire la “rubrica telefonica” di Internet che associa il nome di un sito all’indirizzo IP del server che ospita quel sito, un po’ come la vostra rubrica telefonica associa i nomi dei vostri contatti ai loro numeri telefonici.

Il problema è che la sicurezza del DNS dei computer Windows era difettosa, come ha scoperto la società di sicurezza israeliana Check Point, e questo è importante per tutti noi perché il difetto rende molto più facile per un aggressore dirottarci verso un sito falso, nel quale magari immettiamo dati personali o coordinate di carte di credito.

La falla normalmente sarebbe difficile da sfruttare, perché solitamente i server sono ben protetti e non sono esposti direttamente a Internet e quindi l’aggressore dovrebbe accedere al Wi-Fi aziendale o alla rete cablata dell’azienda bersaglio, ma la pandemia ha imposto a molte aziende dei rapidi cambi di struttura delle proprie reti che potrebbero renderle più vulnerabili.

Il difetto è classificato al massimo livello di criticità (10 su 10), tanto che il Dipartimento per la Sicurezza Interna statunitense ha ordinato alle autorità federali del paese di installare immediatamente l’aggiornamento correttivo, riguarda tutte le versioni di Windows Server dal 2008 a oggi ed è wormable, ossia propagabile automaticamente da un server all’altro, ma la buona notizia è che non è ancora stato sfruttato dagli aggressori. Una volta tanto, le guardie sono in anticipo sui ladri.


Fonti aggiuntive: Sophos, Ars Technica, Wired, Gizmodo.

Se usate Windows, fate appena possibile gli aggiornamenti di sicurezza rilasciati pochi giorni fa da Microsoft: risolvono ben 99 falle, alcune delle quali vengono già sfruttate dai criminali informatici.

Una, in particolare (CVE-2020-0674), consente di attaccare e prendere il controllo completo del computer semplicemente convincendo l’utente a visitare una pagina infettante di un sito.

Un’altra (CVE-2020-0729) consente di prendere il controllo di un computer semplicemente infilandovi una chiavetta USB contenente un file .LNK appositamente confezionato.

La procedura di aggiornamento è quella solita: in Windows 10, scegliete Start - Impostazioni - Aggiornamento e sicurezza - Windows Update - Controlla aggiornamenti. Eseguitela dopo aver fatto un backup o un punto di ripristino, in modo da poter tornare indietro se scoprite che l’aggiornamento causa problemi.

Il rischio di problemi non è una buona scusa per rinviare gli aggiornamenti. Ora che sono stati resi noti i dettagli di queste falle e le loro correzioni, è solo questione di tempo (qualche giorno) prima che i criminali informatici creino degli attacchi su misura per prendere di mira chi non si aggiorna.


Fonti aggiuntive: Cybersecurity360.it, Graham Cluley.

Se state cercando di seguire le normali raccomandazioni di sicurezza informatica e quindi volete installare gli aggiornamenti di sicurezza di Windows ma non ci state riuscendo, la colpa potrebbe essere dell‘antivirus. Sì, siamo arrivati all’assurdo che un antivirus, concepito per migliorare la sicurezza, finisce per impedirla.

Il problema nasce dalle due gravi falle Spectre e Meltdown, già descritte in un articolo precedente. Microsoft ha già rilasciato gli aggiornamenti che le correggono (almeno in parte), ma non permette di installarli a chi usa alcuni tipi di antivirus.

Questo, spiega Microsoft, è necessario perché alcuni antivirus usano metodi che sono incompatibili con i più recenti aggiornamenti di Windows e mandano il sistema operativo in crash, con un classico Schermo Blu della Morte.

Spetta ai produttori di antivirus modificare i propri prodotti per tenere conto delle novità di sicurezza generate da Spectre e Meltdown: nel frattempo Microsoft si trova costretta a scegliere fra lasciare i propri utenti con un computer vulnerabile ma funzionante e bloccarli del tutto.

Il ricercatore di sicurezza Kevin Beaumont ha pubblicato un documento, progressivamente aggiornato, che elenca gli antivirus che non intralciano gli aggiornamenti di sicurezza di Microsoft. Consultatelo per sapere se il vostro antivirus è diventato un ostacolo o si è aggiornato.

Chicca finale: Microsoft ha imposto ai produttori di antivirus di autocertificare la propria compatibilità aggiungendo un’apposita chiave al Registro di Windows ogni volta che si avviano. Quanto tempo ci vorrà, si chiede l’esperto di sicurezza Graham Cluley, prima che i criminali informatici imparino a modificare questa chiave del Registro per impedire ai PC di aggiornarsi e così mantenerli vulnerabili?

Ultimo aggiornamento: 2018/01/07 00:40.

Se avete sentito parlare in toni drammatici di due importanti falle informatiche annunciate in questi primi giorni del 2018, rilassatevi.

Sì, il problema è serio, ma se non siete informatici per lavoro (per esempio gestite una banca o un servizio cloud) probabilmente vi basta aggiornare il vostro Windows, Mac, Linux, Android o iOS e le vostre applicazioni (in particolare il browser) come consueto, senza panico. Forse dovrete aggiornare anche il firmware del vostro processore. Se invece siete informatici per lavoro, vi aspettano giorni difficili e mi dispiace molto per voi.

In estrema sintesi, Meltdown e Spectre sono i nomi dati a gravi difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi da Intel e in alcuni di quelli prodotti da AMD e progettati da Arm. Sono processori usati in computer, tablet, telefonini e molti altri dispositivi (comprese le auto “intelligenti”). Non si tratta dei soliti difetti di app o sistemi operativi: qui sono proprio i chip stessi a essere fallati.

Specificamente, Meltdown è un difetto dei processori della Intel (e del futuro Cortex-A75 della Arm), mentre Spectre (in due varianti) tocca non solo i processori di Intel ma anche quelli di AMD (Ryzen) e Arm usati sugli smartphone, secondo The Register. Meltdown è risolvibile via software; Spectre per ora no.

Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade, e cade malamente, come racconta questo articolo tecnico.

Questo consente per esempio a una pagina Web o a un’app ostile di rubare password (persino da un gestore di password), chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Basta usare del Javascript in un browser non aggiornato. In altre parole, è male.

Per i sistemi aziendali che usano macchine virtuali, è stato dimostrato che un attacco eseguito su una macchina virtuale può leggere la memoria fisica della macchina ospite (host) e da lì leggere la memoria di un’altra macchina virtuale presente sullo stesso host. Per chi gestisce o usa servizi cloud, insomma, è malissimo.

Tanto per darvi un’idea di quanto sia brutta questa situazione, il CERT statunitense aveva inizialmente consigliato di cambiare tutti i processori ("Fully removing the vulnerability requires replacing vulnerable CPU hardware.") (copia su Archive.is). Poi si è ricreduto.

Non risulta al momento che ci siano attacchi attivi che sfruttano queste falle, ma è probabilmente solo questione di tempo [2017/01/05 19:00: sono arrivati]. Le dimostrazioni di efficacia di queste falle realizzate dagli esperti, invece, sono già in circolazione:

Using #Meltdown to steal passwords in real time #intelbug #kaiser #kpti /cc @mlqxyz @lavados @StefanMangard @yuvalyarom https://t.co/gX4CxfL1Ax pic.twitter.com/JbEvQSQraP

— Michael Schwarz (@misc0110) 4 gennaio 2018

#Meltdown in Action: Dumping memory (GIF version) #intelbug #kaiser /cc @misc0110 @lavados @StefanMangard @yuvalyarom pic.twitter.com/x46zvm60Mc

— Moritz Lipp (@mlqxyz) 4 gennaio 2018

Siccome cambiare processore non è granché fattibile nella maggior parte dei dispositivi, è necessario ricorrere a correzioni software, da scaricare tramite aggiornamenti del firmware, del sistema operativo e delle applicazioni.

Nonostante le preoccupazioni iniziali su possibili riduzioni delle prestazioni dei processori dovuti a queste correzioni, le prime indicazioni non rivelano rallentamenti avvertibili in circostanze normali [2018/01/07 00:40 segnalati tempi quasi doppi per il mining della criptovaluta Monero].

• Per il firmware, Intel ha annunciato di aver già pubblicato aggiornamenti correttivi per “la maggior parte dei processori introdotti negli ultimi cinque anni”, ma solo per Meltdown; Spectre rimane. AMD ha pubblicato delle informazioni di base; Arm ha messo online un elenco dei prodotti vulnerabili e le patch per Linux.
• Per i dispositivi Apple, iOS risulta già corretto dalla versione 11.2, macOS dalla 10.13.2 e tvOS dalla 11.2 (watchOS non richiede aggiornamenti correttivi). Il browser Safari dovrebbe ricevere a breve un aggiornamento.
• Per Linux è disponibile un aggiornamento (piuttosto manuale). Il kernel 4.14.11, rilasciato il 3 gennaio, risolve le falle. Per sapere quale kernel avete, il comando (a terminale) è uname -r o uname -a.
• Per i dispositivi Android sono disponibili gli aggiornamenti della patch 2018-01-05 (almeno per i telefonini e tablet supportati dai produttori); per sapere se il vostro Android è aggiornato, seguite Impostazioni - Sistema - Informazioni sul telefono (o tablet) - Livello patch di sicurezza.
• Firefox è corretto dalla versione 57.0.4. Se avete una versione precedente, aggiornatela.
• Google Chrome sarà corretto dalla versione 64, che dovrebbe uscire il 23 gennaio; nel frattempo conviene attivare la site isolation come descritto qui. 

Il problema principale è Windows.

• Microsoft Edge, Internet Explorer 11, Windows 10, Windows 8.1 e Windows 7 SP1 sono corretti con l’aggiornamento KB4056890 del 3 gennaio scorso (come spiegato nella Client Guidance for IT Pros, nella Server Guidance e nell’Advisory ADV180002 di Microsoft) e con l’aggiornamento KB4056892: lanciate Windows Update per aggiornarvi.
• Tuttavia ci sono conflitti con alcuni antivirus, per cui gli aggiornamenti non si installano sui dispositivi che hanno quegli antivirus (la lista è in continua evoluzione; Kaspersky era già a posto da fine dicembre). Siamo insomma all’ironia che gli antivirus ostacolano la sicurezza.
• Esiste un’app gratuita per verificare la corretta installazione degli aggiornamenti in Windows: si chiama SpecuCheck.

Per i computer, i tablet e i telefonini (almeno quelli aggiornabili), insomma, il problema è risolvibile, anche se ci sarà sicuramente qualcuno che non si aggiornerà perché si crede più intelligente degli altri o perché ha un capo che si crede più intelligente degli altri. Ma restano i vecchi smartphone e tutti gli altri dispositivi connessi a Internet, quelli dell’Internet delle Cose, come sistemi di monitoraggio e controllo remoto, “smart TV”, automobili, impianti di domotica, che forse non vedranno mai un aggiornamento.

Se volete saperne di più, in italiano potete leggere per esempio Siamogeek o Il Post; in inglese c’è una panoramica dettagliata su Gizmodo e nei siti dedicati alle vulnerabilità, ossia Meltdownattack.com e Spectreattack.com.

Se siete responsabili informatici di un’azienda, potreste trovare ispirazione in questi consigli per definire un piano d’azione. Preparate i fazzoletti.

2018/01/05 19:00

Come facilmente prevedibile, cominciano ad arrivare i primi attacchi, basati su Spectre.

#Spectre people just starting to play with proofs of concepthttps://t.co/v0ieaonHtBhttps://t.co/3WBueog66Yhttps://t.co/A1wMZcPaUQhttps://t.co/8i7NO4gSw9

— Bernardo Quintero (@bquintero) January 5, 2018

Fonti aggiuntive: Bruce Schneier, The Verge, Google Project Zero, Medium, ANSA, CERT, The Register, VirusBulletin, Sophos, BleepingComputer, BBC, Repubblica.

Se ne parla ovunque da qualche giorno: come ho già segnalato, è stato scoperto che il WPA2, il protocollo di sicurezza che protegge abitualmente le connessioni Wi-Fi contro le intercettazioni, ha una serie di falle gravi che sono state denominate KRACK. Queste falle consentono di intercettare dati sensibili, come per esempio le password usate per collegarsi ai siti, e riguardano praticamente tutti i dispositivi digitali di ogni marca dotati di Wi-Fi: televisori “smart”, router Wi-Fi, smartphone, computer. Ma non è il caso di farsi prendere dal panico.

I fabbricanti di dispositivi, infatti, sono stati avvisati a luglio scorso dai ricercatori che hanno scoperto le falle e quindi quelli diligenti hanno già distribuito gli appositi aggiornamenti di sicurezza. Trovate qui una chilometrica lista di produttori di software vulnerabili e aggiornati: Apple, Microsoft, Linux, iOS e Android sono tutti coinvolti, ma hanno già distribuito gli aggiornamenti o li stanno per distribuire (eccetto quelli per i vecchi dispositivi Android, che è comunque il caso di cambiare per molte altre ragioni).

Un attacco basato su KRACK, inoltre, funziona soltanto se la vittima si collega a un sito usando HTTP (connessione non cifrata); se usa HTTPS, come avviene ormai in molti siti e soprattutto quando si digita la password di accesso, questo attacco non è possibile. Lo stesso vale se usate una buona VPN.

Ma il limite più importante di KRACK è che è sfruttabile soltanto se l’aggressore è nel raggio di azione della rete Wi-Fi usata dalla vittima. Questo rende impraticabili gli attacchi a distanza fatti a casaccio e in massa, che sono il metodo preferito dai criminali informatici. In altre parole, l’aggressore dovrebbe avercela proprio con voi: questo non capita molto spesso, e comunque si risolve usando le già citate connessioni cifrate (HTTPS e VPN).

Ci sono anche altre limitazioni che rendono KRACK difficile da sfruttare, ma quello che conta è che se aggiornate il software dei vostri principali dispositivi siete sostanzialmente al sicuro da KRACK. Il vero problema è fare l’inventario di tutti i dispositivi che usano il Wi-Fi: rimboccatevi le maniche e preparatevi a dedicare un po’ di tempo a questa magagna.


Fonti: Graham Cluley, Ars Technica, F-Secure, The Register.

È tempo di aggiornamenti: Adobe Flash Player ha una nuova collezione di vulnerabilità gravi che consentono a un aggressore di prendere il controllo del computer della vittima via Internet, per cui va aggiornato alla versione 26.0.0.137. La raccomandazione vale per Windows, Macintosh, Linux e Chrome OS; Google Chrome e Microsoft Edge si aggiornano automaticamente.

Microsoft, invece, ha rilasciato una serie di aggiornamenti che chiudono ben 19 vulnerabilità critiche in vari prodotti, compresi gli occhiali per realtà aumentata Hololens. Scaricateli e installateli, se non lo ha già fatto automaticamente Windows per voi.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/05/17 18:00.

Stamattina sono stato ospite telefonico di Radio3 per parlare di Wannacry insieme a Carola Frediani. Se volete riascoltare i consigli e gli aggiornamenti che sono stati proposti, qui trovate il podcast. Buon ascolto.

Credit: @dodicin.

Pubblicazione iniziale: 2017/05/12 18:53. Ultimo aggiornamento: 2017/05/16 13:50. Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.


2017/05/12 18:53. Da qualche ora è in corso un attacco informatico su una scala che, senza esagerazioni, si può definire planetaria. Sono stati colpiti ospedali, università, compagnie telefoniche, aziende in almeno 70 paesi: in pratica, chiunque sia stato così idiota da non aggiornare i propri sistemi. Eh sì, perché la correzione di Windows che rende immuni a questo attacco è già disponibile da mesi. Non c’è niente di speciale o di imprevedibile in quest’incursione ricattatoria.

La tecnica è la solita: ransomware. In altre parole, i computer vengono infettati e i dati che contengono vengono cifrati con una password nota solo ai criminali. Per avere questa password bisogna pagare un riscatto. Se volete leggere il resoconto di un caso concreto che ho seguito, eccolo.

Il malware è stato denominato WanaCrypt0r 2.0 o WCry/WannaCry. La patch di aggiornamento di Windows da installare per bloccarlo è la MS17-010, disponibile da marzo scorso.

Ripeto: la patch è disponibile da marzo. Se non avete aggiornato i vostri computer, ve la siete cercata.

Aggiornerò questo articolo man mano che avrò novità. Adesso piantatela di leggere e andate immediatamente a patchare. Se non potete patchare, spegnete e scollegate i vostri computer Windows. E raccomandate la vostra anima alla vostra divinità preferita.

This is the day #wcry pic.twitter.com/yGPGfXDkNi

— Vladimir Ivanov (@ivladdalvi) May 13, 2017

Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p

— Marco Aguilar (@Avas_Marco) May 12, 2017

Here's what a London GP sees when trying to connect to the NHS network pic.twitter.com/lV8zXarAXS

— Rory Cellan-Jones (@ruskin147) May 12, 2017

Wow, even in my building lobby! #WannaCry #ransomware pic.twitter.com/ilPqHBmiB5

— Andrew Tinits (@amtinits) May 12, 2017

2017/05/13 09:00. Durante la serata e la notte ho raccolto un po' di informazioni per rispondere alle domande più frequenti. Le trovate qui sotto.

Cosa posso fare per difendermi?

1. Aggiornate il vostro Windows per installare gli aggiornamenti correttivi (patch). Se non sapete come fare, chiedete a qualcuno che lo sa. Microsoft ha radunato tutte le patch per le varie versioni di Windows qui (spiegone).

2. Aggiornate il vostro antivirus. Praticamente tutti gli antivirus sul mercato riconoscono ormai questo malware.

3. Fate un backup di tutti i vostri dati e scollegatelo dalla rete locale.

4. Chiedetevi perché non avete fatto queste cose prima d’ora e perché c’è voluto un disastro planetario per farvele fare.

5. Come regola generale, non aprite allegati nelle mail senza averli prima controllati con un antivirus aggiornato (anche se questo ransomware non usa la mail per propagarsi, gli altri lo fanno).

6. Disabilitate SMB 1.0 come descritto qui.

7. Controllate di non avere condivisioni SMB aperte che si affacciano a Internet, incluse quelle su VPN.

8. Se avete un computer infetto, non collegatelo alla rete locale; tenterà di infettare tutti gli altri computer della rete.

9. Se siete responsabili della sicurezza di una rete, consentite il libero accesso a questo URL per bloccare l'attacco (per ragioni descritte qui sotto): www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Sono stato colpito e i miei dati sono cifrati. Cosa posso fare?

1. Se avete un backup recente dei dati, usatelo per ripristinarli.

2. Se scoprite che anche il backup è cifrato (perché poco furbamente fate i backup su un disco di rete invece che su supporti fisicamente rimovibili), avete solo due possibilità: tentare di ricostruire da capo i dati cifrati oppure pagare il riscatto, sperando che i criminali vi diano davvero la chiave di decifrazione.

Non sono al corrente di vittime che abbiano pagato il riscatto, abbiano ottenuto la chiave di decifrazione e siano riusciti a recuperare i propri dati. Tutte le società di sicurezza informatica sconsigliano di pagare, perché questo alimenta e incentiva attacchi di questo genere.

Non uso Windows, sono al sicuro?

Il malware colpisce soltanto sistemi Windows e soltanto se non aggiornati. Se usate MacOS, Linux, Android, Windows Phone, iOS, ChromeOS o qualunque altro sistema operativo diverso da Windows non avete problemi.

Naturalmente se il vostro lavoro o i vostri dati dipendono da qualcun altro che ha computer Windows vulnerabili, potreste avere problemi lo stesso.

Quali versioni di Windows sono vulnerabili?

Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 e R2, Windows 10, e Windows Server 2016 se non sono stati aggiornati da marzo scorso.

Windows XP è vulnerabile ma non è più supportato da Microsoft da aprile 2014. Se lo usate ancora su un computer connesso a Internet, come il servizio sanitario britannico, state cercando guai. In via eccezionale, Microsoft ha comunque rilasciato una patch anche per XP.

Come faccio a sapere se il mio Windows è aggiornato e quindi immune?

Se avete gli aggiornamenti automatici di Windows e una versione recente di Windows, siete a posto. Se avete Windows 10 Creators Update, siete immuni a questo problema.

Su Windows 7 e 8, andate a Pannello di controllo - Programmi - Programmi e funzionalità - Visualizza aggiornamenti installati. Su Windows 10 (da Anniversary Update in poi), date un’occhiata a Impostazioni - Aggiornamenti e sicurezza - Windows Update - Cronologia. Per le versioni pre-Anniversary Update di 10 vale la procedura descritta per Windows 7 e 8. Grazie a Ruggio81 per queste info.

Se siete tecnici e sapete usare Metasploit, ci sono delle istruzioni apposite; oppure potreste usare il Microsoft Baseline Security Analyzer.

Come si diffonde l’attacco?

Il malware si propaga da solo da una rete locale all'altra via Internet cercando e sfruttando le condivisioni di rete SMB maldestramente rivolte verso Internet: questo è quello che emerge dall'analisi fatta da Malwarebytes (v. sezione "SMB vulnerability leveraged to spread ransomware worldwide"). Non è necessaria alcuna azione da parte dell'utente.

Quando il malware riesce a insediarsi in un computer di una rete locale, cerca di propagarsi agli altri computer della rete usando di nuovo le condivisioni SMB e sfruttandone la vulnerabilità già citata. Basta quindi che in un’azienda s’infetti un singolo computer Windows per rischiare di infettare tutti gli altri computer Windows non aggiornati presenti sulla stessa rete locale.

Alcune delle fonti citate in fondo a questo articolo ipotizzano per ora che l’intrusione iniziale possa avvenire (anche) in modo classico, attraverso una mail contenente un allegato infettante oppure una pagina Web contenente codice ostile, ma finora nessuno ha presentato prove di diffusione via mail.

Va notata la scelta del momento per l’attacco: nel pomeriggio di venerdì in Europa, quando gli addetti alla sicurezza di molte aziende hanno già lasciato il posto di lavoro o lo stanno per lasciare e appena prima dei backup di fine settimana, in modo da massimizzare il danno.

Dopo alcune ore, Malwaretech ha preso il controllo (sinkhole) di uno dei domini citati nel malware:


Malwaretech ha scoperto poi (e raccontato magnificamente qui) che questo dominio veniva utilizzato dai criminali come riferimento per la gestione del malware: se esiste ed è accessibile, il malware non effettua cifratura, come spiegato qui da Malwarebytes; se il malware non riesce a raggiungere questo sito, prosegue la propria opera distruttiva. Il sito è probabilmente usato come test dal malware per sapere se sta girando in una sandbox (ambiente di test) o su un computer reale: è una tecnica usata spesso in questo campo.

Il risultato è che al momento un computer vulnerabile si può ancora infettare ma l’infezione non cifra più i dati, per cui l'attacco per ora è stato in gran parte neutralizzato da Malwaretech grazie a un colpo di fortuna e alle tecniche dilettantesche usate dai criminali. Ma se non installate gli aggiornamenti correttivi, nulla impedisce ad altri criminali di ritentare con una versione di malware più robusta. E ci sono già segnali non confermati che questo sta accadendo.

Il mio antivirus rileverà l’attacco?

Se è aggiornato, molto probabilmente sì. Ormai lo fanno praticamente tutti.

Quali paesi/enti sono stati colpiti? C’è una mappa?

Nel Regno Unito sono stati colpiti in particolare l'intero sistema sanitario nazionale (costretto a sospendere tutte le attività non urgenti; sono coinvolti ospedali, cliniche, ambulatori, anche a livello dei centralini telefonici; si prevede una paralisi di vari giorni) e la Nissan.

In Francia è stata colpita la Renault.

In Slovenia il malware ha bloccato la produzione dello stabilimento Renault.

In Spagna hanno avuto gravi problemi la compagnia telefonica spagnola Telefónica e altre aziende nel settore dell’energia (Iberdola e Gas Natural).

Negli Stati Uniti anche FedEx è stata colpita.

In Russia ci sono segnalazioni di problemi presso banche (Sberbank, VTB) e ferrovie (RZD).

Sono segnalate infezioni in Russia, Turchia, Germania, Vietnam, Filippine, Italia, Cina, Ucraina, Stati Uniti, Argentina e altri paesi, per un totale di almeno 74 paesi secondo la BBC.

La Svizzera è stata sostanzialmente risparmiata, grazie anche all'informativa diramata da MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione).

Il New York Times parla di 45.000 attacchi (e presumibilmente altrettante infezioni). Su Malwaretech.com c'è una mappa animata.

Se cercate su Google intitle:"index of" "WNCRY" troverete un elenco di siti colpiti.

In less than 3 hours (even can say less than 2 hours if we count it from the explosion), they got victims already from 11 countries: pic.twitter.com/cKOF4YpVbT

— MalwareHunterTeam (@malwrhunterteam) 12 maggio 2017

Boom, we have insight!#WannaCrypt pic.twitter.com/Tji2e1D6sK

— MalwareTech (@MalwareTechBlog) 12 maggio 2017

Voglio informazioni tecniche, ce ne sono?

Ci sono quelle di Kaspersky e quelle di rain1 (che include tutti i testi del malware in varie lingue); anche Ars Technica ne ha pubblicate. Emsisoft ha scritto un’analisi della crittografia usata. VirusTotal ha ottime info. C'è anche un video dimostrativo di un attacco. E Talos Intelligence ha info anche sul sinkholing usato per bloccare l’attacco. L'analisi di Microsoft è qui; le informazioni di F-Secure sono qui e qui.

2017/05/13 11:10: The Register ha fatto un ottimo punto della situazione; idem Malwarebytes qui.

Chi ci guadagna?

Ci guadagnano i criminali, per ora sconosciuti, che incassano i Bitcoin pagati dalle vittime. Uno dei portafogli digitali usati dai criminali dovrebbe essere questo, ma per ora non sembra che stia crescendo granché (ma mentre scrivo queste righe è venerdì sera, per cui molte aziende reagiranno lentamente). Un altro sarebbe qui. Queste fonti sono confermate da Kaspersky.

In chiaro:

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Un conteggio aggiornato alle 10 del 13/5 stima un incasso totale circa 14 bitcoin, ossia circa 21.000 euro al cambio attuale. Ma probabilmente il grosso arriverà lunedì, alla riapertura degli uffici.

Un conteggio aggiornato alle 14 del 15/5 stima circa 29,4 bitcoin, ossia circa 50.000 dollari.

Cosa c’entra l’NSA?

L'attacco usa una tecnica presente in uno strumento d'intrusione sviluppato dall'NSA, chiamato EternalBlue/DoublePulsar, che è stato trafugato insieme ad altri da un'organizzazione criminale che si fa chiamare ShadowBrokers e che ha dapprima cercato di guadagnare mettendo all’asta la refurtiva e poi, di fronte al fallimento dell’asta, ha pubblicato tutto online, a disposizione di chiunque. EternalBlue/DoublePulsar è stato analizzato e poi ricreato da criminali informatici che lo stanno sfruttando per questo attacco.

Di chi è la colpa?

Fondamentalmente è dell’NSA, che ha fabbricato armi informatiche pericolosissime e non ha saputo tenerle al sicuro: è come se avesse fabbricato un’arma batteriologica (che già è una pessima idea perché uccide chiunque, non solo il nemico) e poi oltretutto l’avesse lasciata su un davanzale, a portata di tutti.

Ed è colpa dell'NSA anche perché ha tenuto per sé la conoscenza delle falle sfruttate da queste armi invece di condividerla con Microsoft e consentirle di correggere la vulnerabilità diffondendo un aggiornamento del proprio software. In sintesi, l'NSA ha scoperto un pericolo riguardante migliaia di aziende e sistemi vitali degli Stati Uniti e non ne ha informato nessuno per tenersi un vantaggio operativo: lo ha annunciato a Microsoft soltanto dopo che si è accorta che Shadowbrokers aveva rubato le sue tecniche.

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE

— Edward Snowden (@Snowden) May 12, 2017

Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU

— Edward Snowden (@Snowden) May 12, 2017

Ma non è colpa di Wikileaks?

No: è un equivoco piuttosto diffuso. Gli strumenti d’attacco dell’NSA sono stati trafugati e poi pubblicati da ShadowBrokers, non da Wikileaks.

NOTE: WikiLeaks has not released exploit code to the CIA's "zero day" hacking software. See https://t.co/h5wzfrReyy for details

— WikiLeaks (@wikileaks) May 12, 2017

Fonti: CCN-CERT, scheda informativa Microsoft, informazioni Microsoft sulla falla MS17-010, bollettino Microsoft sulla falla MS17-010, New York Times, The Register, Motherboard, Brian Krebs, BBC, The Intercept, Graham Cluley, Sophos, ANSA.

Martedì 12 gennaio le versioni 8, 9 e 10 di Internet Explorer raggiungeranno la “fine vita” (end of life), ossia non saranno più supportate da Microsoft per quanto riguarda aggiornamenti di sicurezza o correttivi. Chi li usa resterà quindi vulnerabile alle falle note e a quelle che verranno presumibilmente scoperte in futuro.

L’avviso di Microsoft (in italiano) consiglia agli utenti di passare a Internet Explorer 11, “che continuerà a ricevere aggiornamenti della sicurezza, correzioni rapide per la compatibilità e supporto tecnico in Windows 7, Windows 8.1 e Windows 10”.

Chi non segue questo consiglio ma scarica gli aggiornamenti periodici di Microsoft si troverà con un promemoria sullo schermo a partire sempre da questo martedì. L’unica versione di Internet Explorer che resterà supportata è la 11, ma in realtà Microsoft sta spingendo affinché gli utenti abbandonino anche questa in favore del suo nuovo browser, denominato Edge.

Per chi sviluppa software e gestisce sistemi informatici la cessazione del supporto alle vecchie versioni di Internet Explorer, celebri per le loro idiosincrasie e incompatibilità, è probabilmente una buona notizia, perché semplifica il numero di versioni di browser da gestire e offre una giustificazione per andare dal capo e finalmente costringerlo ad aggiornare il software.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “miacom*” e “maxmara*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto “gaino*”).

“Siamo nel 2015 e il tuo PC Windows può ancora essere fregato da una pagina web”, titola The Register. Premesso che in realtà non è un problema che affligge soltanto Windows, in effetti dovremmo chiederci come è possibile che tolleriamo computer, tablet, telefonini che possono infettarsi semplicemente aprendo una pagina Web. È come se i televisori esplodessero sintonizzandoli su un certo canale, o le lavatrici si disintegrassero inserendovi mutande di una certa marca, o le automobili cadessero a pezzi semplicemente entrando su una certa autostrada, e noi fossimo rassegnati ad accettare questo stato di cose, convinti che di meglio non si possa fare. Anzi, peggio che rassegnati: contenti di andare a comperare l'ennesimo gadget o installare l'ennesima versione di sistema operativo che continua ad avere un difetto così patetico.

Stavolta è il turno di Microsoft, che ha rilasciato ben cinquantasei correzioni di sicurezza per i propri prodotti, compreso il nuovissimo browser Edge. Ci sono rattoppi per Office, Internet Explorer e Windows 10, oltre che per le vecchie versioni di Windows (Vista, 7, 8 e 8.1). Nei dettagli tecnici di moltissime di queste correzioni viene spiegato che la falla è sfruttabile da un aggressore semplicemente convincendo l'utente a visitare una pagina web appositamente confezionata.

Almeno due delle falle turate vengono già sfruttate in questo momento dai criminali informatici per attaccare gli utenti, per cui non c'è tempo da perdere: aggiornatevi.

Credit: Medieval Reactions

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “fabio.turch*” e “mario.cop*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Se dovete ancora avere Flash sui vostri computer, aggiornatelo alla versione più recente, ossia la 18.0.0.232: chiuderete 35 falle, molte delle quali sono classificate come gravi. Controllate la pagina di test di Adobe per verificare quale versione avete a bordo. Se vi siete stufati o volete ridurre il rischio, le istruzioni per obbligare Flash a chiedere il vostro consenso prima di eseguire il contenuto di una pagina sono qui. Scoprirete con piacere quanti pezzi di pagine Web apparentemente normali sono in realtà contenuto Flash mascherato.

Google Chrome (che contiene una propria versione auto-aggiornante di Flash) è stato aggiornato alla versione 44.0.2403.155.

Firefox ha fatto cifra tonda: l'aggiornamento più recente è la versione 40.0. Se state usando versioni precedenti, vi conviene aggiornarle. Le istruzioni per aggiornare Firefox sono qui. La nuova versione di Firefox risolve 14 falle (di cui quattro critiche, inclusa una buona fetta di Stagefright) e introduce maggiori controlli di sicurezza: per esempio, blocca i download automatici di malware identificati da Google Safe Browsing e le pagine Web contenenti “software ingannevole” (eufemismo, dettato da cautele legali, usato per indicare adware e altre forme di malware gestite da una struttura aziendale). Inoltre richiede che le estensioni siano firmate digitalmente da Mozilla; se non lo sono, ricevete un avviso.

Internet Explorer (tutte le versioni dalla 7 alla 11) va aggiornato per risolvere alcune falle definite “critiche” da Microsoft, e anche Windows 10 ha delle vulnerabilità da rattoppare. Le istruzioni dettagliate per aggiornare questi prodotti Microsoft sono qui, ma in sostanza basta usare Windows Update o lasciare che Windows provveda automaticamente. Tuttavia alcuni utenti di Windows 10, caratterizzato dall'installazione automatica degli aggiornamenti, segnalano problemi che bloccano i loro computer in un loop infinito di riavvio e reinstallazione.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/21 1:50.

La fuga massiccia di dati da HackingTeam continua a rivelare falle gravissime finora pubblicamente sconosciute nei componenti software più diffusi. Dopo una vulnerabilità in Windows, una in Internet Explorer e tre in Adobe Flash scoperte e risolte, stavolta è di nuovo il turno di Windows. Tutte le versioni. Niente panico: c'è già l'aggiornamento, a meno che abbiate Windows Server 2003 o Windows XP, nel qual caso siete e resterete vulnerabili.

La falla è decisamente critica e per esserne colpiti basta ricevere un documento o visitare una pagina Web contenente un font particolare. Sì, non ridete: si possono infettare i computer usando i font. E una volta che l'attacco ha avuto successo, un aggressore può usarlo per prendere il controllo completo del sistema colpito, installare programmi, vedere o modificare o cancellare dati o creare account nuovi. Se vi sembro eccessivamente catastrofico, tenete presente che sto soltanto citando testualmente il bollettino di Microsoft MS15-078.

Per ora Microsoft non ha notizia di attacchi basati su questa falla, ma è soltanto questione di tempo: tipicamente un paio di giorni, a giudicare dagli eventi analoghi più recenti. È già pronto l'aggiornamento d'emergenza, che dovrebbe installarsi automaticamente per la maggior parte degli utenti.

L'aggiornamento, rilasciato poco fa, risolve questa falla per Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows RT e RT 8.1. Non c'è aggiornamento per Windows Server 2003 e per Windows XP, perché non sono più supportati (a meno di contratti speciali con Microsoft).

La falla è stata trovata da Mateusz Jurczyk di Google Project Zero e da Genwei Jiang di FireEye studiando i documenti di HackingTeam, secondo quanto riportato da The Register.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “giovanni.por*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

Mettete in preventivo un po' di tempo oggi per aggiornare i vostri computer: Microsoft ha rilasciato degli aggiornamenti importanti che tappano una cinquantina di falle di sicurezza in Windows e in altri suoi prodotti (.NET, Office, Silverlight) e Adobe ha fatto altrettanto per chiudere una ventina di vulnerabilità in Flash Player, Air, Reader e Acrobat per Windows, OS X e Linux.

Questi aggiornamenti non sono da trascurare: tre sono stati classificati da Microsoft come “critici”, perché consentono di attaccare il computer senza che l'utente debba fare nulla di speciale. Una delle falle corrette, la MS15-044, permette l'attacco informatico semplicemente convincendo l'utente a visualizzare una pagina Web o un documento appositamente confezionato.

Per quanto riguarda il software Adobe, controllate se avete installato Flash usando questo link in italiano: se l'avete installato, verificate di avere la versione indicata nella tabella mostrata dal link. Se necessario, aggiornatevi facendo attenzione a non installare software indesiderato come per esempio Security Scan di McAfee.

Google Chrome, che include una propria versione di Flash, si aggiorna automaticamente al riavvio; in alternativa potete forzare l'aggiornamento facendo clic sulle tre barrette a destra della casella dell'indirizzo e scegliendo la voce Informazioni su Google Chrome.

Se usate Adobe Reader o Acrobat, procuratevi i rispettivi aggiornamenti. Buon divertimento.


Fonti aggiuntive: Microsoft Technet, Krebs On Security.

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.

Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.

C'è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell'azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.

Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.

Questo genere di comportamento si chiama in gergo man in the middle (“uomo in mezzo” o “intromissione”, per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un'azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant'è vero che alcuni antivirus lo segnalano, sia pure chiamandolo “adware” per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.

Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l'elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l'utente può rifiutare Superfish durante l'attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza. Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.

Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio https://filippo.io/Badfish o https://canibesuperphished.com) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.

Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell'azienda. La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario. Lenovo ha dichiarato che il suo intento era di “aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping” e che “il rapporto con Superfish non è finanziariamente significativo”, ma i dati tecnici rendono poco credibili queste giustificazioni.


Fonti: BBC, Ars Technica, TheNextWeb, Engadget, Lenovo, Punto Informatico.

Pochi giorni fa Microsoft ha presentato Windows 10, ma non lo troverete in negozio: è un'anteprima tecnica, perché il prodotto finale verrà commercializzato nei primi mesi del 2015. Verranno soddisfatte le speranze di chi sentiva la mancanza del menu Start e di un'interfaccia più simile a quella dei Windows “classici” (95, 98, ME, XP, 7).

Microsoft promette un sistema operativo unico e applicazioni che funzioneranno su tutti i dispositivi, dai computer classici ai sistemi embedded, e reagirà diversamente in base alla configurazione del dispositivo: per esempio, sui computer il cui schermo è staccabile e usabile come tablet Windows 10 proporrà di cambiare interfaccia per diventare più adatto all'uso touch quando lo schermo è sganciato dalla tastiera e tornerà a un desktop tradizionale, predisposto per l'uso tramite tastiera, quando lo schermo si riaggancia.

Se vi interessa sperimentare l'anteprima di Windows 10, potete scaricarla (anche in formato ISO virtualizzabile) presso questa pagina di Microsoft.

Come mai è stata saltata la versione numero 9? La spiegazione ufficiale è che Windows 10 è talmente innovativo che meritava un salto di numero come segnale d'innovazione; la spiegazione non ufficiale ma tecnicamente plausibile è che molti sviluppatori di applicazioni usano un metodo un po' pigro per controllare su che versione di Windows sta girando la loro applicazione: invece di chiedere “sei Windows 95?” e “sei Windows 98?”, chiedono “sei Windows 9qualchecosa?”, col rischio di scambiare Windows 9 nuovo di pacca per un vetusto Windows 95/98.


Aggiornamento (2014/10/14): per gli increduli che non pensavano che la spiegazione non ufficiale fosse una bufala, suggerisco di leggere questo codice.

Un FALSO aggiornamento di Flash Player

Il rituale aggiornamento mensile di sicurezza targato Microsoft tura falle importanti in Microsoft Office 2003, 2007, 2010 e 2013 e in altri prodotti Microsoft che permettono di attaccare i computer che usano questo software semplicemente convincendo l'utente ad aprire un file Word appositamente confezionato (bollettino MS14-001).

Ci sono aggiornamenti importanti anche per gli utenti di Windows XP, Windows 7, Windows Server 2003 e 2008 R2 (bollettini MS14-002 e MS14-003). Visto che i criminali informatici tipicamente lanciano attacchi che sfruttano le falle segnalate dai bollettini di sicurezza, chi non si aggiorna prontamente rischia di essere preso di mira. Dunque aggiornate subito, se potete: il procedimento dovrebbe essere automatico.

Un aggiornamento vero di Flash Player alla versione 12 per Mac.

Se usate i prodotti Adobe Reader e Adobe Acrobat per leggere o generare documenti PDF, Adobe AIR o Adobe Flash per vedere le animazioni interattive dei siti Web (e di molti giochi su Facebook), aggiornate subito anche questi software, dato che sono stati rilasciati aggiornamenti per Windows, OS X e Linux che turano falle critiche che permettono a un aggressore di eseguire programmi (presumibilmente ostili) sul computer dell'aggredito. I bollettini sono rispettivamente qui per Flash e qui per Reader e Acrobat. Per sapere se avete la versione più recente di Flash c'è il test ufficiale; l'aggiornamento è scaricabile qui. Attenzione, fra l'altro, ai falsi aggiornamenti di Flash che sono in circolazione su vari siti infettati e sono stati segnalati da F-Secure. Per Reader, invece, la versione più recente è scaricabile da questa pagina del sito di Adobe.

Anche Java è uno dei tanti prodotti Oracle che hanno bisogno un aggiornamento rapido; quello di Java che corregge ben 36 vulnerabilità. Fate il test per sapere se avete già installato l'ultima versione o se vi serve scaricarla e installarla manualmente.

È disponibile il podcast della puntata di ieri del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli d'accompagnamento:

• Antivirus AVG cancella un pezzo di Windows, blocca i PC
• Quanto è facile spiare attraverso le webcam
• Le parole di Internet: RATter
• Google Reader chiude a luglio: che fare?
• Nomi infelici di prodotti informatici (ma non solo)

Aggiungo, sul tema dei nomi infelici di prodotti, il mitico VINCULO, da leggere naturalmente con l'accento sulla I e non sulla U. Grazie a @latente_flickr per la segnalazione.