Windows: scoperta grave falla di sicurezza

La National Security Agency (NSA) l’organismo governativo degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale, ha scoperto una grave falla di sicurezza che affligge i sistemi Windows.

Microsoft ha dato subito il via al rilascio di un aggiornamento per tutte le versioni di Windows in circolazione il cui obiettivo è quello di porre rimedio a una grave vulnerabilità individuata all’interno della componente crypt32.dll ( il problema è stato etichettato come CVE-2020-0601 ).

Se si utilizza Windows, occorre aggiornare al più presto:

Impostazioni > Aggiornamento e sicurezza > Windows Update

Molti programmatori di Windows, se non la maggior parte, aggiungono funzionalità di crittografia al loro software proprio utilizzando la funzionalità vulnerabile CryptoAPI (contenuta nella componente crypt32.dll)

Una delle funzioni offerte da CryptoAPI è quella di controllare e convalidare i cosiddetti certificati digitali, che vengono utilizzati per garantire servizi online (come siti Web) o file caricati (come programmi).
I certificati digitali sono sostanzialmente i componenti che inseriscono la S in HTTPS e il lucchetto nella barra degli indirizzi del browser.
Sono anche il meccanismo crittografico che garantisce per il fornitore di qualsiasi software con firma digitale che si utilizza e si accerta che il software non sia stato manomesso.

Dati sensibili compromessi

Pertanto, se il componente che verifica il certificato digitale può essere “ingannato” da un hacker, la falla è potenzialmente in grado di compromettere la sicurezza delle credenziali per l’autenticazione a sistemi desktop e server, dei dati sensibili gestiti dai browser Internet, così come le informazioni legate ad applicativi di terze parti.
La vulnerabilità potrebbe inoltre essere sfruttata per far passare un malware inosservato alla scansione di un antivirus, attribuendogli l’etichetta di software legittimo e affidabile.



Approfondimento a cura della National Security Agency:
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

Approfondimento di Microsoft sulla vulnerabilità CVE-2020-0601
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Come riconoscere una truffa online

Da definizione, il phishing è:

Un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

L’ente che il truffatore cerca di emulare può essere la banca ad esempio, o qualsiasi altro ente di cui l’utente normalmente ha completa fiducia. Le truffe on-line infatti hanno come principale scopo quello di sottrarre denaro alla vittima.

Come evitare di essere ingannati?

Le truffe online non sono nient’altro che l’evoluzione del classico inganno porta a porta, nella quale i truffatori si fingono qualcun altro (a volte carabinieri, altre volte si fingono invece tecnici del telefono o del gas) col solo scopo di entrare in casa per rubare denaro o preziosi.

Teniamo quindi presente che così come non basta avere una divisa per essere realmente dei carabinieri (o un tesserino, per i finti tecnici), non basta anche avere ricevuto una email o un sms ben scritti per essere sicuri di essere stati contattati realmente dell’ente che viene dichiarato.

Senza contare inoltre che mai la banca ( o la società del gas, etc..) ci chiederà via SMS o via email, di inserire i numeri della nostra carta di credito, il nostro codice fiscale, o qualsiasi altro dato sensibile su un sito internet da aprire cliccando su un link.
In caso di dubbi, piuttosto, meglio recarsi personalmente dal fornitore di servizi o contattarlo personalmente, in modo da richiedere eventuali chiarimenti.
Ma attenzione: utilizzare sempre il sito ufficiale o il numero di telefono che già conosciamo, non i riferimenti contenuti nel messaggio ricevuto!

Come possiamo quindi evitare di cadere nel phishing?

Possiamo ignorare le email o gli sms ricevuti e sicuramente non dobbiamo cliccare sui link che ci vengono inviati: cliccando su di essi verremmo rimandati a siti Web creati ad hoc dai truffatori, rischiando anche di scaricare un virus informatico.
Ricordiamo che i siti di e-commerce, i social network e gli istituti di credito non inviano mai e-mail per reimpostare i propri dati di accesso o per confermare altre informazioni personali, se non dietro una nostra richiesta esplicita.

Se invece ci imbattiamo su un sito durante la normale navigazione web, controlliamo sempre, prima di inserire dati sensibili, che l’indirizzo corrisponda al sito che ci aspettiamo di visitare. Ad esempio, volendo visitare “stefanocurci.it”, se ci trovassimo invece su un sito simile a “stefanocurci-it-123.test.tk”, avremmo uno scenario sicuramente anomalo.
Prima di proseguire la navigazione su siti quantomeno sospetti potrebbe essere opportuno utilizzare un URL Scanner in grado di verificarne l’autenticità: un semplice copia e incolla dell’indirizzo Web del sito può essere sufficiente a garantire una navigazione sicura.

Approfondimento:
Una connessione SSL HTTPS non è sufficiente a garantire la sicurezza di un sito.
La presenza di una connessione sicura basata su protocollo SSL non garantisce affatto sulla legittimità del sito: semplicemente, i certificati SSL/TLS servono a criptare la connessione tra il browser e il server che ospita il sito, in modo da proteggere il traffico dati.
Ulteriori dettagli su cybersecurity360.it