Così i codici rubati di Hacking Team hanno svelato le falle di Adobe

Così i codici rubati di Hacking Team hanno svelato le falle di Adobe
Hacker cinesi sfruttano le vulnerabilità di Adobe Flash che Hacking Team "accumulava" per le sue attività di spionaggio. Ecco che cosa ne pensano gli esperti e perché Steve Jobs "bocciava" il media player già nel 2010

La vicenda Hacking Team ha fatto il giro del mondo – e non solo perché i media di tanti Paesi hanno raccontato del clamoroso attacco hacker e dei prodotti-spia della società italiana (anche se molti hanno invitato a non stupirsi più di tanto: Hacking Team non è l’unica a vendere software del genere ai governi) – ma perché, com’era prevedibile, il codice divenuto di pubblico dominio è stato subito abilmente sfruttato dagli hacker per perfezionare i loro attacchi.

LE VULNERABILITA’ DI FLASH

Anche qui, non bisogna stupirsi troppo. Il South China Morning Post ha riportato che due gruppi di hacker cinesi hanno usato gli strumenti messi in rete dopo l’attacco informatico alla società milanese per sferrare attacchi cyber-criminali: gli hacker avrebbero approfittato di alcune falle del programma Flash di Adobe per colpire specifici settori (telecomunicazioni, aerospazio, difesa, energia). Ma per Forbes questa è una “conferma” di qualcosa di già noto: Adobe Flash ha gravi problemi di sicurezza.

Gli hacker che hanno compromesso a inizio mese Hacking Team hanno pubblicato 400 GB di dati sensibili, tra cui il codice sorgente del software Galileo, una console per il controllo remoto sviluppata per clienti governativi. Galileo fa un monitoraggio dei sistemi da sorvegliare installando un agente e gli esperti di sicurezza hanno studiato nei giorni scorsi il codice messo a nudo dagli hacker per capire come funziona. Galileo userebbe una serie di vulnerabilità zero day (quelle per cui non esistono ancora patch) per evitare di essere scoperto e impiantare il software agent. Tre delle quattro vulnerabilità zero day scoperte finora si trovano in Adobe Flash.

Non sappiamo se gli hacker cinesi che hanno sferrato gli attacchi usando le falle di Adobe conoscessero già i difetti di Flash o li abbiano appresi grazie ai codici “svelati” di Hacking Team, ma certo ora “le falle zero day di Adobe Flash sono di pubblico dominio”, scrive Forbes.

“GIOCARE COL FUOCO”

La fonte del South China Morning Post è la società di cyber-sicurezza FireEye, che ha scoperto che due gruppi cinesi di hacker che tiene sotto controllo stavano usando le falle zero day di Hacking Team per compromettere il software di Adobe Flash Player. “Le falle zero day hanno grande valore per i gruppi che attaccano sul web”, osserva Bryce Boland, chief technology officer for Asia Pacific di FireEye, secondo cui Hacking Team “giocava col fuoco” quando faceva uso di queste vulnerabilità (senza avvisare le società produttrici, in questo caso Adobe): “Accumulare le vulnerabilità mantiene di per sé una situazione di pericolo e instabilità, oltre al rischio che queste falle siano rubate e usate da terzi”, afferma Boland.

Secondo il South China Morning Post, le email private di Hacking Team pubblicate da Wikileaks rivelano che le falle di Flash che Hacking Team accumulava per poterle sfruttare nelle azioni di “spionaggio” le erano state vendute da un anonimo hacker russo per 45.000 dollari. Ovviamente Adobe ha subito provveduto a riparare le falle, ma Boland pensa che il rischio persista per tutti gli utenti che non usano versioni di Flash aggiornate.

“DISINSTALLATE FLASH”

Altri esperti di sicurezza si spingono fino a invitare a disinstallare del tutto il media player dai computer. “I cyber-criminali sono riusciti a integrare tutte e tre le vulnerabilità zero day nei principali Exploit Kit mettendo a rischio tutti gli utenti del prodotto di Adobe”, spiega Wolfgang Kandek, Cto di Qualys, in un blog post. “Siccome non esistevano patch fino ad oggi per queste falle, il nostro consiglio è di disinstallare Flash per neutralizzare l’attacco, usare Emet su Windows per rafforzare ulteriormente il browser o usare Google Chrome come browser perché non è colpito da almeno uno delle zero day di Flash”.

Russ Ernst, director of product management di Heat Software, aggiunge: “Le tre falle interessano le versioni di Flash 9.0 fino alla 18.0.0.204 in Windows, Mac e Linux: se dovete usare Flash, assicuratevi di avere la versione più recente e attuale. Ad ogni modo la sicurezza massima al momento si ha disinstallando il media player completamente”.

PENSIONARE ADOBE?

Alex Stamos, chief security officer di Facebook, si è spinto oltre: ha scritto un tweet chiedendo a Adobe di “uccidere” Flash:  “E’ ora che Adobe annunci una volta per tutte la fine di Flash e permetta ai browser di disabilitarlo” (Mozilla, appena venuta a conoscenza dei problemi, lo ha automaticamente disabilitato dal suo web browser Firefox).

“La situazione è sempre stata pericolosa, per la sicurezza degli utenti, a causa di Flash. Ma adesso è particolarmente grave, dopo le vulnerabilità scoperte con l’hack di Hacking Team”, conferma Stefano di Paola, esperto di sicurezza presso l’Open web application security project (Owasp). “Flash sembra particolarmente esposto a queste vulnerabilità, perché poggia su una base di codice ormai obsoleta, scritto quando c’era un diverso modo di concepire questi software”

PROFETICO JOBS

Steve Jobs aveva già capito tutto. Ad aprile 2010 il fondatore di Apple aveva spiegato dettagliatamente in un articolo sul sito ufficiale della Mela perché si era rifiutato di incorporare il supporto per Adobe Flash nel sistema operativo mobile iOs: Apple avrebbe usato invece Html5, Css e JavaScript che sono standard non solo più evoluti e adatti al mobile rispetto a Flash, scriveva Jobs, ma anche aperti e controllati da un comitato preposto a vigilare sugli standard di cui Apple fa parte. Per Jobs il problema si sintetizzava in tre parole: “Reliability, security and performance”; dati di Symantec dimostravano che Flash non era sicuro e Jobs confermava che causava problemi ai Mac e non era ottimizzato per le piattaforme mobili. “Non vogliamo ridurre l’affidabilità e la sicurezza dei nostri iPhone, iPod e iPad aggiungendo Flash”, concludeva Jobs.

Da allora ovviamente Adobe ha fatto grandi passi in avanti sul fronte della sicurezza, ma la vicenda Hacking Team, secondo Forbes, sembra provare che le falle non sono affatto risolte e che forse è davvero l’ora di pensionare Flash.

LE RASSICURAZIONI DI VINCENZETTI

Ma se gli hacker hanno trovato di che arricchire il loro repertorio con i dati privati di Hacking Team e le vulnerabilità zero day di Adobe, il ceo della società David Vincenzetti è intervenuto a rassicurare sull’eventuale utilizzo del software da parte dei terroristi: non c’è “nessun rischio”, ha detto, derivante dalla “rivelazione” di parti del codice sorgente di Galileo. “Le parti del codice rubate”, ha spiegato, “sono già obsolete. Il nostro software è un antivirus al contrario e se non lo aggiorni per una settimana è inefficace e può essere identificato dai sistemi di sicurezza. Che si crei un’arma al servizio dei terroristi è estremamente improbabile”. La “parte innovativa” del codice sorgente di Galileo, usato da una quarantina di governi in tutto il mondo per proteggersi anche dal terrorismo, “non è stata rubata”. Già all’indomani dell’attacco, su La Stampa, Vincenzetti annunciava: “Entro fine anno uscirà la versione 10 del software, che supererà totalmente quanto accaduto”.

Chissà se anche Adobe penserà ad aggiornamenti “pesanti” per evitare che gli esperti di security continuino a chiedere di “uccidere” il suo media player.

ultima modifica: 2015-07-16T12:00:02+00:00 da Patrizia Licata

Chi ha letto questo articolo ha letto anche: