Cerca nel blog

2010/01/17

Google vs Cina, Internet Explorer da bandire

Governo tedesco: non usate Internet Explorer


Questo articolo vi arriva grazie alle gentili donazioni di "claudiogili" e "givanno" ed è stato aggiornato dopo la pubblicazione iniziale.

I recenti attacchi informatici "altamente sofisticati e mirati" provenienti dalla Cina sono stati realizzati sfruttando una falla di Internet Explorer.

A metà dicembre 2009, questi attacchi hanno coinvolto Google allo scopo di accedere agli account di posta degli attivisti per i diritti umani dei cinesi, sia in Cina sia fuori dal paese, e hanno colpito anche almeno venti altre grandi aziende tecnologiche occidentali, fra cui Yahoo, Symantec, Adobe, Northrop Grumman e Dow Chemical, stando al Washington Post.

Anche se nessuna autorità lo dice apertamente, il sospetto che dietro gli attacchi ci siano informatici sponsorizzati e coordinati dal governo cinese è forte. L'intrusione è stata sufficientemente allarmante da spingere Google ad annunciare il possibile ritiro dalla Cina e la sospensione delle censure concordate con il governo del paese e da indurre il Dipartimento di Stato degli Stati Uniti a chiedere spiegazioni formali alle autorità cinesi.

Secondo la società di sicurezza informatica McAfee, che ha analizzato il software utilizzato per gli attacchi, una delle modalità di intrusione sfrutta una "vulnerabilità nuova e non nota pubblicamente di Microsoft Internet Explorer". Gli attacchi si baserebbero su una tecnica classica, quella di indurre la vittima a cliccare su un link o ad aprire un file inviato via mail, per sfruttare la vulnerabilità di Explorer, aprendo una backdoor (un canale segreto di accesso) che permette all'intruso di esplorare in lungo e in largo il bersaglio e accedere ai dati riservati della società.

Sempre secondo McAfee, Internet Explorer è "vulnerabile su tutte le versioni più recenti dei sistemi operativi Microsoft, compreso Windows 7", ma gli attacchi condotti utilizzando la vulnerabilità di IE sono stati concentrati su IE versione 6. Sophos, però, include anche le versioni 7 e 8 fra quelle vulnerabili.

Microsoft ha poi confermato la falla in tutte le versioni di IE dalla 6 alla 8 incluse ed ha fornito alcune istruzioni per attenuare il rischio, osservando che si tratta comunque di attacchi mirati a persone in posizioni di elevata responsabilità, non a utenti comuni. Ma il governo tedesco, tramite la BSI (Bundesamt für Sicherheit in der Informationstechnik, l'ufficio federale per la sicurezza informatica), consiglia a tutti gli utenti della Rete di usare temporaneamente un browser alternativo a Internet Explorer, punto e basta. Anche perché la tecnica per sfruttare questa vulnerabilità di IE non è più segreta.

Un bel pasticcio, che indica quanto i governi siano preoccupati dal pericolo dello spionaggio informatico, specialmente se (come si sospetta) è finanziato e incoraggiato da un altro governo. E' vero che anche gli altri browser hanno vulnerabilità: ma l'onnipresenza di Internet Explorer ne fa un bersaglio più appetibile e facilita il lavoro degli aggressori. E' la solita storia della monocultura. Se tutti coltivano patate, quando arriva un parassita che attacca le patate è un disastro. Se invece si coltiva anche qualche altra pianta commestibile, e non c'è qualcuno che fa sparire le altre fonti di cibo, il parassita non potrà causare altrettanta devastazione. Chiedetelo agli irlandesi.

Un aggiornamento a quest'articolo è pubblicato qui.

23 commenti:

@enio ha detto...

io uso Firefox, ma se vogliono possono tranquillamente usare questo browser per entrare alla stregua di Explorer...basta solo conoscere il modo e avere il programma giusto.

Peppe ha detto...

Come puoi leggere qui,

"Citing sources in the defense contracting and intelligence consulting community, the iDefense report unambiguously declares that the Chinese government was, in fact, behind the effort."

Vittorio ha detto...

Ma il governo tedesco, tramite la BSI (Bundesamt für Sicherheit in der Informationstechnik, l'ufficio federale per la sicurezza informatica), consiglia a tutti gli utenti della Rete di usare temporaneamente un browser alternativo a Internet Explorer, punto e basta.
Dillo alle aziende pubbliche come la ASL dove lavoro. Da Win 2000 l'anno scorso sono passati a Win XP Professional e da Explorer 5 a (udite, udite) Explorer 6...
Ovviamente se vuoi usare un altro browser non lo puoi installare perchè non hai i diritti di amministratore.

Pippolillo ha detto...

Il problema del software vetusto ma ancor più del sistema operativo (!) nelle grandi aziende ed enti pubblici è drammatico.
Vista la la vecchiezza delle macchine e la loro lentezza magari vorresti provare a lanciare un defrag ma è impossibile se non sei Administrator.
Visto il livello medio di conoscenza informatica, molto basso, capisco alzare le sicurezze però, insomma...
Vi racconto questa realmente accaduta pochi giorni fa che fa ridere o forse piangere.
Una utente aveva il pc bloccato, così accede tramite propria login, da un'altra macchina.
Poi lancia Outlook per leggersi la posta ed ha cominciato ad urlare perché erano spariti tutti i messaggi. Valle a spiegare che Outlook va configurato a parte con i dati utente.
Ecco se non sai nemmeno queste cose, forse è meglio lasciare bloccato defrag ed altre cose.

Domenico ha detto...

internet explorer 6? sono anni che non lo vedo

Claudio ha detto...

La questione della monocultura è ovviamente più complessa di quanto l'hai presentata ma è altrettanto ovvio che in una nota a margine non potessi fare un trattato a riguardo.

Solo alcune riflessioni. Qui si sta parlando di attacchi mirati e altamente sofisticati, di conseguenza non c'è software che tenga essendo che tutti essi hanno bachi. Mi spiego. La relazione tra monocultura e pericolo di sicurezza è molto più vera per quanto concerne gli attacchi di malware, i quali vengono costruiti attorno alla falla di un dato software. Qui subentra un banalissimo rapporto costi / benefici: se faccio un attacco mirato ad Internet Explorer ho un bacino potenziale di utenti raggiungibili di 500 milioni di unità; se faccio un attacco mirato a Opera il bacino si restringe enormemente. In questa ottica non importa che in assoluto un software abbia più o meno bachi dell'altro: l'importante è il rapporto. Se nello stesso lasso di tempo per Internet Explorer 8 escono 5 bachi di cui 2 effettivamente sfruttabili ai fini del malware, e se per Firefox 3 ne escono 12 di cui 5 sfruttabili, in ogni caso mi conviene colpire Internet Explorer perchè raggiungo molti più utenti. E in ogni caso basta che ce ne sia uno adeguatamente sfruttabile che comunque lo scopo è raggiunto. Il parametro che pertanto conta in assoluto di più, direi quasi esclusivamente, è proprio la diffusione.

In un attacco mirato la realtà è che non c'è niente da fare. Se non passavano da IE passavano da un'altra parte e magari con modalità completamente diverse. Se hai risorse e un obiettivo, non credo ci sia molto da fare; per lo meno se non investi a tua volta risorse per difenderti attivamente da minacce di questo tipo. Passivamente ogni sistema viene scardinato, prima o poi, com'è inevitabile che sia. Anzi, in questo caso la monocultura non è detto sia dannosa. Nel senso: se impiego un'alternativa che non ha i riflettori addosso, che non ha altrettante risorse, rischio di facilitare il compito agli aggressori in quanto potenzialmente più ricca di appigli. Tanto per dirne una, Firefox non è di certo famoso per essere esente da bachi, anzi.

Per chiudere, l'appello del governo tedesco secondo me è solamente una dimostrazione di inadeguatezza delle attuali strutture governative, che non hanno al loro interno le capacità, le risorse umane, la cultura per capire ed affrontare la sfide e i pericoli della rete, dell'informatica e probabilmente del progresso tecnologico nel suo complesso.

Detto questo aggiungo anche che da Google mi sarei aspettato qualcosa di meglio di così, essere bucati perchè a posizioni importanti della società hanno bucato Internet Explorer... beh, è un po' deludente. Anzitutto perchè tu stessa realizzi e promuovi un tuo browser nonchè un tuo un tuo sistema operativo (che potresti tweakare per la massima sicurezza per l'uso interno), e invece per i tuoi boss usi i prodotti della tua acerrima nemica Microsoft. E poi, anche volendo utilizzare Internet Explorer, beh, di tecnologie per sandboxare il processo, per analizzare passo passo cosa fa, e così via ce ne sono eccome... Penserò male ma sono dell'idea che non ne usavano manco mezza.

Paolo Attivissimo ha detto...

e invece per i tuoi boss usi i prodotti della tua acerrima nemica Microsoft

Aspetta, c'è un equivoco. Gli account Google non sono stati violati perché Google ha fatto usare IE ai propri boss. Gli account Google violati sono di boss di altre società, non di dipendenti di Google.

Per il resto, sono d'accordo con quello che dici. Contro un attacco mirato è dura, ma almeno le misure minime si potrebbero prendere. Educazione degli utenti in primis, insieme all'aggiornamento del software.

Ricordiamoci che qui è bastato inviare una mail infetta. Non è stata un'intrusione alla James Bond.

Max Senesi ha detto...

La verità è che vale sempre la vecchia regola che si può applicare al 90% degli uffici: la vera vulnerabilità sta tra il monitor e la tastiera. Anche qui sembra che l'utente dovesse interagire in qualche modo per scatenare la vulnerabilità. Tempo medio in genere speso per formare il personale dal punto di vista informatico? Zero. Spendere per sistemi più sicuri e programmi con meno bachi è ovviamente giustissimo, ma obbligare il personale a formarsi informaticamente sarebbe auspicabile. Conosco personalmente persone che cliccherebbero su OK se comparisse una finestra col messaggio:"Vuoi formattare tutte le partizioni del tuo disco rigido?", tanto non sanno cosa vuol dire formattare...

Patrick ha detto...

Proprio un bell'articolo... (purtroppo)...
Chiaro che ormai Internet e posta elettronica la fanno da padrone per l'informazione e la convidisione di documenti. Tutte le aziende di un certo "spessore" dovrebbero CONTROLLARE E STRACONTROLLARE i propri pc, Mi pare di aver capito che comunque l’exploit non funziona se l'utente usa il suo pc con diritti limitati e non come amministratore...

Io per il momento continuo a coltivare patate, ma sto già adocchiando anche i pomodori...

Vittorio ha detto...

@Pippolillo
Il problema del software vetusto ma ancor più del sistema operativo (!) nelle grandi aziende ed enti pubblici è drammatico.
Il grave è che ci hanno appena cambiato i PC mettendo dei buoni computer, tutto sommato adeguatamente performanti. Anche il fatto che ci sia XP Professional non è proprio proprio una malvagità, visto la pesantezza di Vista e l'estrema novità di Win 7. Pero come giustamente dice
Domenico ha commentato:
internet explorer 6? sono anni che non lo vedo

almeno questo potevano aggiornarlo, in fondo non si tratta altro che di scaricare l'installer e farlo girare. Dato che per ogni PC i tecnici perdono tempo per passare i dati personali (posta, programmi utili etc) del precedente PC al nuovo, tanto valeva aggiornarli fino in fondo con Explorer 8. In fondo l'Azienda ha una connessione ultraveloce a fibre ottiche...

Ah, Post Scriptum: ovviamente la posta elettronica è gestita con Outlook Express...

IceMat "Magelykun" ha detto...

Io sono uno dei pochi che usa Chrome quindi non dovrei avere problemi simili (spero). In ogni caso tutte le E-mail che ricevo e che non provengono da siti che conosco non arrivo a leggere nemmeno la fine del nome del sito (prima di aprirle) che già sono eliminate. Mi stupisco che boss, e non contadini che è già tanto che sappiano accendere un pc, siano caduti in questa trappola.

Contz ha detto...

Paolo, ti invito ad approfondire meglio anche qui:

Microsoft Security Advisory su Internet Explorer. L'ultima vulnerabilità spiegata da Feliciano Intini http://j.mp/msie

Turz ha detto...

Ovviamente se vuoi usare un altro browser non lo puoi installare perchè non hai i diritti di amministratore.

Firefox puoi installarlo sulla tua cartella utente senza dover essere amministratore. Almeno sul modernissimo sistema operativo che si usa da noi, Windows 2000.

Giambo ha detto...

La signorina della foto non mi e' nuova ... Hmmm ... Ah, ecco dove l'ho gia' vista !

No, aspetta ma ma ma ...

OK, ora e' tutto piu' chiaro :) !

Willy ha detto...

Firefox puoi installarlo sulla tua cartella utente senza dover essere amministratore.

Inoltre esiste anche in versione portable.
Consiglio quella curata dal team di Winpenpack

Per quanto riguarda la signorina...
Anche una delle immagini più famose di Firefox si è rivelata una bufala... LOL

Replicante Cattivo ha detto...

Anche una delle immagini più famose di Firefox si è rivelata una bufala... LOL

Oltretutto il fotomontaggio con il logo di IE è anche abbastanza dilettantesco,dato che non tiene conto di eventuali "deformazioni" prospettiche.

(preciso che questa affermazione l'ho fatta dopo circa 20 minuti di analisi approfondite della foto)

Vittorio ha detto...

@ Turz
Firefox puoi installarlo sulla tua cartella utente senza dover essere amministratore. Almeno sul modernissimo sistema operativo che si usa da noi, Windows 2000.
Sssshhhh! Lo ho già fatto appena mi hanno dato il PC nuovo, ma non farlo sapere in giro, non mi sarebbe permesso fare questo...

Mega69 ha detto...

Qualche giorno fa ho preso un virus usando l'ultima versione di Firefox ( ho semplicemente cliccato su un link ). E' la prima volta da quando ho smesso di usare IE che mi capita una cosa del genere.
Si trattava di un adware poco pericoloso per fortuna, di nome Zango Search.

Insomma, sempre meglio stare all'erta, indifferentemente dal browser in uso.

Pietro ha detto...

Eh? Dopo la foto c'e' scritto qualcosa? Non riesco a scrollare! Deve essere la bava...

Turz ha detto...

@tutti:

Ricordiamoci comunque sempre del Dodecalogo di sicurezza informatica.

Emanuele Ciriachi ha detto...

internet explorer 6? sono anni che non lo vedo

Noi "savvy users" sicuramente no, ma purtroppo Google Analytics lo vede eccome.

Nella prima meta' del 2009 il 13.14% dei clienti della nostra compagna usava IE6, nella seconda meta' questa percentuale e' scesa al 9.66%.

Questi numeri fanno riferimento principalmente alla Gran Bretagna, ma sono comunque significativi - e questo nonostante Youtube consigli specificatamente agli utenti IE6 di passare ad un browser piu' moderno.

Il CSS specifico per "mettere le pezze" a IE6 continuera' ad accompagnare noi sviluppatori ancora per qualche anno a venire, pare.

Domenico_T ha detto...

OT

Uso i topic "informatici" per segnalare la presenza di Richard Stallman domani all'Università di Salerno

Qui tutti i dettagli ;)

Anonimo ha detto...

Ulteriore Update Paolo: http://www.mclips.it/archive/2010/01/18/internet-explorer-e-sicurezza-chiarimenti-sul-recente-security-advisory.aspx