skip to main | skip to sidebar
14 commenti

Firefox: trafugati dati riservati sulle sue falle, indispensabile aggiornarsi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “arianna.bo*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Se usate Firefox aggiornato siete a posto, ma se ne state ancora usando versioni vecchie avete un grosso problema: qualcuno ha avuto accesso all'elenco riservato delle sue falle di sicurezza irrisolte e l'ha sfruttato per creare attacchi informatici. Per un anno intero. Ed è successo perché uno dei manutentori è stato così ingenuo da usare altrove la stessa password che usava per accedere a quest'elenco delicatissimo e se l'è fatta fregare.

L'annuncio, con PDF esplicativo, non mena il can per l'aia: Bugzilla, il sistema informatico utilizzato da Mozilla (la comunità degli sviluppatori di Firefox) per gestire le informazioni sui problemi di sicurezza del popolarissimo browser, è stato violato. L'aggressore è riuscito a procurarsi un accesso all'account di un utente privilegiato di Bugzilla e ha potuto quindi consultare tutte le informazioni riservate sulle falle irrisolte in Firefox e altri software sviluppati da Mozilla. In barba alle regole basilari della sicurezza, l'utente aveva infatti riutilizzato la propria password di Bugzilla su un altro sito (non identificato nell'annuncio), che è stato violato, saccheggiandone le password.

In effetti è un metodo geniale per procurarsi tecniche d'attacco: invece di studiare il software e cercarne faticosamente le falle, basta entrare nell'account di uno sviluppatore di quel software e leggere la documentazione che descrive con precisione le vulnerabilità ancora aperte. E per entrare nell'account dello sviluppatore basta sfruttarne le imprudenze banali.

L'aggressore ha avuto accesso ai dati riservati sicuramente da settembre 2014, ma ci sono indizi che suggeriscono che l'intrusione fosse già in corso da settembre 2013. L'intruso ha consultato ben 185 falle riservate di Firefox, 53 delle quali riguardavano vulnerabilità gravi: di queste, dieci non erano state corrette pubblicamente al momento in cui sono state viste dall'aggressore. Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall'aggressore per attacchi informatici. Ne aveva parlato ai primi di agosto, senza dire nulla della violazione, annunciando che c'era una pubblicità su un sito russo che attaccava gli utenti di Firefox usando quella falla e ne rubava file sensibili per mandarli a un server situato a quanto pare in Ucraina.

Tutte le falle carpite dall'aggressore sono state risolte con la versione di Firefox 40.0.3, pubblicata il 27 agosto scorso. Se state usando questa versione, questa fuga di dati non ha effetto sulla vostra sicurezza. Se state usando versioni precedenti, datevi una mossa e aggiornatevi.

Adesso che i buoi sono scappati, Bugzilla ha imposto l'uso dell'autenticazione a due fattori per tutti gli sviluppatori e sta limitando l'accesso ai dati più sensibili. Un po' come mettere finalmente una serratura alla porta di casa dopo che sono passati i ladri e hanno trovato la porta aperta. Complimenti vivissimi.


Fonti aggiuntive: Ars TechnicaThe Register.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
Segnalo refuso: "Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall'aggressore per atttacchi informatici.", attacchi con tre "t".
Refuso corretto, grazie!
Mi chiedo perchè, per certi dati, non vengano utilizzati computer non collegati a Internet, sarebbe molto più difficile che questi vengano rubati attraverso attacchi informatici e sarebbero molto più controllati perché essi verrebbero trattati da poche persone molto più tracciabili.
Il contraltare sarebbe che gli esperti dovrebbero andare a "lavorare" nella sede della MacAffe oppure della Mozilla o della Firefox per trovare una soluzione ai bug che vengono trovati.
Ma che schifo. Una fondazione no-profit che sviluppa un software open source e più o meno nel pubblico dominio, che per correre dietro ai browser commerciali manda in giro features con falle riconosciute di sicurezza e le nasconde.
@Paolo
Beh, in questo caso la colpa è più del programmatore. Oltre ad aver usato una password per due siti diversi è anche colpevole di non averla cambiata con una frequenza ragionevole

@Favro
Ciò che dici non è possibile, perché non tutti i bug sono identificati dall'azienda stessa. Molto spesso la segnalazione arriva da terzi, con descrizione dettagliata del bug stesso. Quindi, da qualche parte vi sarà traccia della cosa in un computer collegato via internet (e raggiungibile anche senza l'ausilio di una VPN). Inutile a questo punto perdere la funzionalità di avere un sistema di ticket centrale.

@saputo
Perché secondo te una falla si risolve con due righe di codice ogni volta? Ci sono bug che richiedono _mesi_ di lavoro perché si basano su un errata architettura del software. Inoltre firefox è scritto in c++ che non è proprio uno dei linguaggi più semplici da usare.
Oltre a questo, ci sono bug che non necessitano di correzione immediata. Prendiamo un bug che permette ad un aggressore di far visualizzare male una pagina e non di più. Chi lo sfrutta? Nessuno, una roba del genere avrà priorità bassa.

Prima di sparare accuse informati un attimo su cosa vuol dire lavorare in un'azienda informatica, grazie.
lufo, lo so che lavorando tu su in ambienti in cui le falle sono quasi tutte di chi vende lo SDK non conosci l'esistenza di "fermare l'introduzione di roba se non siamo ragionevolmente sicuri che sia stabile e non porti dentro falle di sicurezza". Ed evidentemente nemmeno a Mozilla sanno di cosa io stia parlando, Agile Agile, pubblica o muori.

La codebase di Mozilla Firefox è di un milione e passa di SLOC. Mozilla è una no-profit, non è (o non dovrebbe essere) succube di publish-or-perish come Chrome e IE. Pertanto, anche con l'ansia di diventare il cugino lento di chrome, non vedo perché non possano lavorar sulle CVE in Nightly e sulla stable TOGLIERE tutto quello che ha CVE gravi (dal rischio di data loss/theft in poi). No, bisogna avere una ESR meno prona a CVE e una stable prona a CVE di cui gli utenti sono all'oscuro? Sei tu che non sai di cosa parli, io al limite faccio chiacchere da bar perché tanto:
* FF è una fetecchia gigante in C++ e "assume" periodicamente devs da Chrome che portano l'ansia di uno che lavora in un sw commerciale... dentro l'environment di un sw open source

* È facile segnalare dissenso nei confronti dei "Grosse Browser", basta non usarli.
@saputo
Non tentare l'arrampicata sugli specchi. Non attacca. Tu non hai detto semplicemente "fermare l'introduzione di roba se non siamo ragionevolmente sicuri che sia stabile e non porti dentro falle di sicurezza"
Nel primo messaggio hai accusato Mozilla di rilasciare software buggato e di nascondere tale evidenza. Due cose diverse come il giorno e la notte.

E non parlare di me, parla dei fatti. Cosa ne sai di come lavoro? Cosa ne sai di come lavora la mia azienda? Nulla e infatti hai sbagliato clamorosamente. La conclusione del ultimo post denota solo una profonda presunzione e totale ignoranza su cosa sia un bug, su come vada gestito e su come provi rimedio.

Oltre a questo: la programmazione agile esiste perché lo chiede il mercato, il problema non è la programmazione agile, ma chi chiede prodotti alla velocità della luce.
Pubblicato qui: http://rtrsat.blogspot.it/2015/09/broswer-firefox-da-aggiornare-con.html - grazie
I complottisti direbbero che ...
anche HTML 5 e Linux contengono "falle" poco note.
d'altra parte oramai alcuni hacking vengono dichiarati apertamente :
"insider" "trusted execution" "uefi" "software guard extension" "anti thefth"
per lo stato di polizia dentro il tuo PC, o perlomeno per prelevare denaro dalla Sim del tuo smartphone : il computer wi-fi telecontrollato da remoto con la carta di credito dentro : un idea geniale ! ahahah
Una precisazione: gli "sviluppatori" non hanno accesso a bug segnalati come sec-*, solo un numero estremamente ristretto di persone ha accesso a quei bug.

> Ne aveva parlato ai primi di agosto, senza dire nulla della violazione, annunciando che c'era una
> pubblicità su un sito russo che attaccava gli utenti di Firefox usando quella falla e ne rubava file
> sensibili per mandarli a un server situato a quanto pare in Ucraina.
La frase dà per scontato che la violazione fosse nota un mese fa. Non credo tu abbia informazioni in tal senso, io di sicuro non ne ho.

> invece di studiare il software e cercarne faticosamente le falle, basta entrare nell'account di
> uno sviluppatore di quel software e leggere la documentazione che descrive con precisione
> le vulnerabilità ancora aperte.
L'ultima falla (quella della pubblicità russa) è stata risolta in 48 ore. Per quanto tempi pensi rimangano aperti bug classificati come falle di sicurezza gravi? Bug hunter e ricercatori danno un po' di preavviso alle aziende (se sono seri), ma non un tempo infinito prima di effettuare il "disclosure".

No, non credo sia utile utilizzare bug tracker per trovare falle nel software, quantomeno non per Mozilla. Magari per altre più "chiuse"
Flod wrote:
"> Ne aveva parlato ai primi di agosto, senza dire nulla della violazione, annunciando che c'era una
> pubblicità su un sito russo che attaccava gli utenti di Firefox usando quella falla e ne rubava file
> sensibili per mandarli a un server situato a quanto pare in Ucraina.

La frase dà per scontato che la violazione fosse nota un mese fa. Non credo tu abbia informazioni in tal senso, io di sicuro non ne ho."

Se tagli parti importanti travisi quanto detto da Paolo.
Metti in testa la frase precedente dell' articolo e cambia tutto:
"Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall'aggressore per attacchi informatici."

Non è Paolo ad essere convinto che la falla russa provenga dalla trafugazione dati di cui all' articolo, lo sono quelli del Mozilla Security Blog:
" We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6. "

Ciao

Carson
@carson

> Se tagli parti importanti travisi quanto detto da Paolo.
> Metti in testa la frase precedente dell' articolo e cambia tutto:
> "Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall'aggressore per attacchi informatici."

Ho citato la parte rilevante, dove si mette in relazione l'accesso non autorizzato e il post di inizio agosto relativo alla falla del lettore PDF (Paolo può confermare se sto interpretando malamente). Da nessuna parte è scritto che l'accesso non autorizzato fosse già noto al tempo in cui è stata pubblicata la notizia, solo che stava andando avanti da 1 o 2 anni.

Il post di Mozilla dice che l'accesso al bug in cui si discute della falla è stato sfruttato per attaccare utenti. A quanto è dato sapere tra la segnalazione della falla in PDF Reader e la disponibilità della versione corretta di Firefox sono trascorse 48 ore. Questo significa che l'attaccante è stato eventualmente in grado di sfruttare la falla in quelle 48 ore, o successivamente attaccando versioni non aggiornate di Firefox.
Scusa Flod,
Ma se il blog dice :
" We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6. "
a credere ad un legame sono loro.

Inoltre sbagli quando dici " A quanto è dato sapere tra la segnalazione della falla in PDF Reader e la disponibilità della versione corretta di Firefox sono trascorse 48 ore."
NO.
Quello è il tempo trascorso da quando la falla è divenuta pubblica a quando è stata rilasciata la patch.
Da quando è stata segnalata la falla a bugzilla a quando è stata rilasciata la versione corretta è trascorso un mese ed alcuni giorni (dal 27 Giugno al 6 Agosto).

Due giorni (o meglio uno a quanto si legge nel comunicato) sono pochini per creare una patch decente e rilasciarla (normalmente non sono sufficenti 15 giorni per risolverlo e mettere la fix nel paccone degli aggiornamenti...un baco segnalato a San Lorenzo ad es. non avrebbe fatto in tempo a finire nella ver 40).

Poi liberissimo di credere in 24 ore siano venuti a conoscenza del baco e l' abbiano corretto ma se sei un po' smaliziato e sai leggere le informazioni dove non ci sono puoi addirittura scoprire con una approssimazione di meno di un' ora, a che ora il baco è stato caricato su Bugzilla.
E sia ben chiaro senza fare nulla di illegale, solo leggendo info pubbliche partendo dai link postati da Paolo.

Su questo argomento non tornerò più, non per Flod o perchè non mi piaccia la discussione, ma solo perchè ho già curiosato in casa altrui oltre il dovuto e per una cosa tutto sommato di poco conto,

Ciao

Carson
Concordo sul fatto che la discussione non stia andando da nessuna parte, parliamo e non ci capiamo.

> Quello è il tempo trascorso da quando la falla è divenuta pubblica a quando è stata rilasciata la patch.
> Da quando è stata segnalata la falla a bugzilla a quando è stata rilasciata la versione corretta è trascorso
> un mese ed alcuni giorni (dal 27 Giugno al 6 Agosto).

Fonte di queste date? Il bug nel lettore PDF è stato corretto nella 39.0.3, rilasciata appositamente (con solo quella fix) il 6 agosto.

> Poi liberissimo di credere in 24 ore siano venuti a conoscenza del baco e l' abbiano corretto ma se sei
> un po' smaliziato e sai leggere le informazioni dove non ci sono puoi addirittura scoprire con una
> approssimazione di meno di un' ora, a che ora il baco è stato caricato su Bugzilla.

Quale bug? I bug di sicurezza non sono accessibili al pubblico (e nemmeno al sottoscritto).
E mi devo correggere: il bug nel lettore PDF (mfsa2015-7) è stato corretto in ~26 ore, non 48 ore. Mea culpa.