falle
Le 7 falle di sicurezza più spaventose del 2014.
Redazione Softonic su uiciechi.it, 2014-10.

Nonostante adori Halloween, ottobre non è fatto solo di dolcetti e scherzetti: è anche il mese 
della sicurezza informatica e quest'anno si parla di molte
violazioni, vulnerabilità, falle e azioni sconsiderate per mano di hacker.

Ma, dato che ottobre infonde in me anche lo spirito di Halloween, ho pensato che il modo migliore 
per combinare i due eventi più importanti del mese fosse
quello di raccontare le più inquietanti violazioni della sicurezza informatica dell'anno e scoprire 
se sono ancora in agguato.

Heartbleed.

Probabilmente uno dei più grandi bug dell'anno, Heartbleed ha provocato un'enorme falla nella 
sicurezza che ha interessato gran parte del web.

Il bug colpisce la libreria crittografica OpenSSL, una libreria software open source che protegge i 
nomi utenti e le password durante la navigazione online.
La falla ha consentito agli hacker, che hanno intercettato una connessione potenzialmente 
compromessa (ovvero non correttamente criptata), di poter ottenere
nomi utenti e password. La parte più spaventosa della questione non era solo il fatto che il 66% 
del web utilizzasse (e utilizzi ancora) la crittografia
OpenSSL, ma anche che il bug era rimasto inosservato per 2 anni. Ciò vuol dire che gli hacker 
potrebbero aver raccolto nomi utenti e password per molto
tempo.

Dalla sua scoperta nel mese di aprile, molti tra i più famosi siti coinvolti hanno creato una patch 
per porre rimedio al bug, ripristinando (relativamente)
la loro sicurezza.

Snapchat.

Anche se l'applicazione stessa è stata "violata" agli inizi di quest'anno pubblicando i nomi utente 
e i numeri di telefono di oltre 4 milioni di persone,
gli utenti di Snapchat hanno affrontato l'esposizione ad un rischio ancora maggiore quando il 
popolare sito di terzi Snapsnaved è stato compromesso.

Il sito web, rimanendo fedele al suo nome, consentiva agli utenti di salvare foto e video Snapchat. 
La violazione ha riguardato oltre 200.000 immagini
e video pubblicati sulla bacheca di messaggistica anonima del sito 4chan agli inizi del mese.

La sensibilità delle foto generalmente inviate mediante Snapchat comporta un rischio soprattutto 
per i minori che condividono immagini mediante tale app.
Da allora Snapsaved.com ha chiuso il sito e 4chan ha rimosso le foto, ma questo non vuol dire che 
ci si possa ritenere al sicuro al 100%.

Snapsaved e app simili non autorizzate usano un'interfaccia per la programmazione di app (API) di 
Snapchat con ingegneria inversa, pubblicamente disponibile
per intercettare e salvare le tue foto. Probabilmente è meglio stare ala larga da questa app 
Snapchat di terzi (e dalla sicurezza poco scrupolosa di Snapchat)
se vuoi evitare rischi.

iCloud.

Questa falla ha fatto notizia per via dei personaggi famosi che sono stati presi di mira durante 
gli attacchi. Ma la violazione di iCloud, avvenuta a settembre,
è stata sufficiente per spaventare anche gli utenti comuni.

La falla non è stata attribuita alla vulnerabilità di per sé, ma gli hacker hanno trovato una 
lacuna nel sistema iCloud che ha reso relativamente facile
(presumibilmente utilizzando software di terzi) accedere agli account di backup di iCloud che gli 
stessi hanno usato per le celebrità. Il timore maggiore
riguarda la possibilità che chiunque possa accedere a foto sensibili archiviate in un dispositivo 
iOS. La mancanza di verifica a due passaggi è stata riconosciuta
come uno dei punti deboli del sistema iCloud.

Da allora, Apple ha attuato grandi cambiamenti ai suoi servizi di archiviazione iCloud con l'uscita 
di iOS 8. Quest'ultimo ti invia ora un'email qualora
sospetti che il tuo account iCloud sia stato violato e ha reso molto più difficile la sospensione 
da parte di un eventuale hacker. L'autenticazione a due
passaggi è divenuta standard e Apple ti richiede di generare password specifiche per le app che non 
supportano l'autenticazione a due passaggi.

eBay.

A maggio, eBay ha annunciato che il suo sito web era stato compromesso per via di una violazione 
avvenuta mesi prima. Tramite l'account di un dipendente,
gli hacker hanno trovato il modo di accedere ai dati degli utenti. Tuttavia, tali dati non erano di 
natura finanziaria e comprendevano informazioni come
email e indirizzi postali degli utenti, password e date di nascita. Fortunatamente PayPal, partner 
di eBay, non è stato compromesso durante l'attacco evitando
situazioni molto più dannose.

eBay ha dichiarato di non aver notato alcun aumento di attività fraudolente negli account nei mesi 
precedenti alla scoperta della falla, ma ha richiesto
ai suoi 145 milioni di utenti di cambiare le proprie password.

Internet Explorer.

Nel mese di aprile, un quarto del mercato dei browser è stato colpito quando Microsoft ha 
annunciato una vulnerabilità critica della sicurezza su Internet
Explorer, dalla versione 6 alla 11. Infatti, Microsoft ha considerato la vulnerabilità molto 
profonda tanto da provvedere ad un aggiornamento di sicurezza
per gli utenti di XP anche dopo che, settimane prima, aveva smesso di supportare l'obsoleto sistema 
operativo.

La stessa vulnerabilità ha sostanzialmente lasciato gli utenti esposti, consentendo agli hacker gli 
stessi diritti degli utenti sui loro PC, oltre alla
possibilità di accedere e installare malware. Fortunatamente, la vulnerabilità è stata colmata 
pochi giorni dopo la sua scoperta.

Adobe Flash.

Adobe ha rilasciato un aggiornamento Flash di sicurezza all'inizio di questa estate, dopo aver 
scoperto un exploit che ha reso vulnerabili i cookie dei
browser. In genere i cookie archiviano informazioni per rendere la navigazione sul web un po' più 
veloce (ad esempio ricordano i dati di log-in senza chiedere
di digitarli ogni volta). La vulnerabilità complicata dal punto di vista tecnico ha reso questo 
genere di dati vittima di intercettazioni, consentendo
agli hacker di spacciarsi per gli utenti online.

Dato che Flash è parte integrante di migliaia di siti web come YouTube, Google e Tumblr, l'exploit 
ha messo in pericolo molte persone. Fortunatamente,
la patch è stata aggiornata velocemente senza creare problemi su larga scala.

Shellshock Bash.

Ecco quella che sarebbe potuta essere la peggiore e più grande falla di sempre: alla fine del mese 
scorso Shellshock Bash ha riscontrato una falla nei
sistemi di Mac OS X, Linux e Unix, fornendo agli hacker la possibilità di eseguire comandi da 
remoto su computer, dispositivi e siti web.

Bash, una specie di interprete utilizzato per eseguire comandi su qualsiasi cosa da laptop, verso 
router e siti web, ha fatto sì che il bug Shellshock
avesse la possibilità di mettere in pericolo milioni di dispositivi. Dopo la scoperta del bug Bash, 
gli hacker hanno subito iniziato a testare i siti web
per capire quali fossero quelli vulnerabili. Molte società, compresa Apple, hanno subito eseguito 
la patch del bug, ma il bug Bash può ancora interessare
la maggior parte dei servizi web presenti sui siti internet.

Ad ogni modo, niente panico! È probabile che tu sia al sicuro dal bug dato che le principali 
società di software hanno provveduto alla patch correttiva
del bug. Tuttavia, puoi adottare misure per proteggerti aggiornando i tuoi computer e dispositivi 
con il software più recente.

Niente paura

Sembra che le violazioni della sicurezza vadano e vengano spesso in questi giorni, ma sebbene molte 
di esse siano fuori dal nostro controllo, puoi comunque
pensare di adottare misure per proteggerti.

In particolare, faresti una cosa semplice e ottima se utilizzassi un software gestore di password 
per essere sicuro che tutte le tue password siano uniche
e sicure. Quando puoi, ricorri alla verifica a due passaggi per una maggiore sicurezza, aggiorna 
sempre il tuo software con l'ultima versione, la quale
comprende, in genere, le patch di sicurezza e le correzioni dei bug e, ogni volta che puoi, evita 
di usare app di terzi o servizi con impostazioni relative
alla privacy e termini di servizio poco chiari.

Redazione Softonic.