Un attacco mai visto fin’ora, sfruttando una debolezza enorme nei commenti: ecco come YouTube è stato messo in seria difficoltà.
Lo schema dell’attacco è stato semplicissimo: in pratica, chiunque poteva scrivere codice HTML nei commenti, creando nel peggiore dei casi un completo redirect verso altre pagine esterne a YouTube.
Si pensa a Google come a una società attenta alla sicurezza dei servizi e delle applicazioni fornite. Ma non sembrerebbe proprio così, almeno a giudicare da quanto ci è stato raccontato da Emanuele Gentili in una lunga chiacchierata. Il ricercatore di sicurezza italiano negli scorsi mesi ha intrattenuto un fitto scambio di email con il Security Team di Google, segnalando moltissime vulnerabilità in servizi come Google Docs, iGoogle e addirittura Google.com.
Per i servizi citati si parla di PDF infetti caricati e utilizzati come vettore per eseguire da remoto exploit su una macchina vittima, widget fraudolenti, open redirect e XSS.
Non solo i servizi più popolari sono stati il bersaglio di Gentili, anche su Chrome e Google Earth “emgent” (questo il nick su Twitter del ricercatore) ha individuato seri bachi di sicurezza. Fin qui sarebbe tutto da considerarsi “normale”, è nella natura dei software avere bug, anche seri. Non proprio “normali”, soprattutto trattandosi di Google, le risposte ricevute a seguito della segnalazione di security bug.
Google ha annunciato di essere intenzionata ad implementare una gradita novità per il suo Google Chrome. Si tratta della funzione in grado di controllare, ed eventualmente bloccare, l’installazione di plugin ed estensioni che possono essere datati o di provenienza non del tutto sicura.
In questi casi, il browser di Google provvede a verificare in automatico la versione dell’estensione e sarà in grado di avvisare l’utente nell’eventualità che il componente non sia aggiornato ad una delle versioni più recenti, evitando così di installare plugin datati che potrebbero mettere in pericolo la sicurezza o la stabilità del programma.
Google rivede al rialzo il listino premi dedicato a quanti individuino delle vulnerabilità in Chrome. La scoperta di una delle 10 falle turate nell’update 5.0.375.70 ha ricevuto ben 2000$ di ricompensa a fronte dei 1337 verdoni previsti in precedenza per le vulnerabilità critiche.
A dirla tutta non è chiaro se il nuovo listino sia definitivo oppure se si tratti di un premio una tantum per la particolare pericolosità della falla segnalata che avrebbe permesso a pagine Web scritte ad hoc di leggere i dati contenuti di altre pagine Web aperte dall’utente.
Google dimostra di tenere in considerazione la privacy degli utenti rilasciando un plugin per limitare la profilazione dei navigaori da parte del suo servizio di statistiche.
Da pochissimi giorni è disponibile, infatti, un’estensione che blocca l’esecuzione del codice JavaScript “ga.js” presente in tutte le pagine che implementano Google Analytics: l’add-on s’installa facilmente in Firefox e in Chrome, mentre nel caso di Internet Explorer bisogna installare un’applicazione a parte.
D’ora in poi, i dipendenti Google che vorranno continuare ad utilizzare un computer equipaggiato con sistema operativo Windows, dovranno richiedere un’apposita autorizzazione ai vertici aziendali. A partire dallo scorso mese di gennaio le piattaforme Microsoft sono bandite dagli uffici di bigG, in seguito agli attacchi provenienti dal territorio cinese subiti dall’azienda nel 2009.
A renderlo noto sono alcuni impiegati di Mountain View, con dichiarazioni ancora non confermate ufficialmente, ma che già stanno facendo il giro dell’intero Web, come riporta anche il sito del Financial Times.
Un’indagine portata avanti da Google con lo scopo di far luce sulle più significative minacce che riguardano gli utenti PC in tutto il mondo ha messo in mostra l’accresciuta diffusione dei cosiddetti “falsi antivirus“.
L’analisi si riferisce al monitoraggio di circa 240 milioni di pagine Internet osservate nel periodo tra gennaio 2009 e febbraio 2010. In questo lasso di tempo, secondo i dati elaborati, ben il 15% di tutti i malware rilevati era costituito proprio da minacce celate sotto le sembianze di un software antivirus.
Google Buzz, così come si trova al momento strutturato, potrebbe presentare seri rischi legati alla privacy degli utenti. Ne avevamo parlato in tempi non sospetti, subito dopo il lancio del social network da parte del colosso di Mountain View e ora sembrano essersene accorte anche le più importanti autorità mondiali impegnate nella tutela dei dati personali.
Il Garante italiano per la privacy e le equivalenti istituzioni di altri nove stati (Canada, Francia, Germania, Irlanda, Israele, Olanda, Nuova Zelanda, Spagna e Gran Bretagna), hanno chiesto a Google di rivedere la propria posizione e il funzionamento del neonato social network, così da dare anche il buon esempio alle altre realtà al momento operanti sul Web.
Continuano a giungere altri particolari relativi ai cyberattacchi che hanno visto colpita Google nei mesi scorsi e che hanno causato non poche polemiche tra la Cina e gli USA, con gli americani che hanno più volte ipotizzato come potesse esserci un collegamento tra gli attacchi e il governo di Pechino.
La notizia delle scorse ore è una rivelazione che arriva dal New York Times, il quale racconta, citando fonti non identificate, che ad essere violato è stato il codice di “Gaia“, ovvero il sistema che gestisce l’autenticazione a tutti i servizi di Google.
Secondo quanto affermato dagli esperti di sicurezza di Avast, la software house distributrice del noto antivirus, gli annunci pubblicitari di alcune grandi piattaforme appartenenti a Google, Yahoo e Fox diffonderebbero malware.
In dettaglio, ad essere finiti sotto i riflettori sono servizi come Yahoo Yield Manager, DoubleClick di Google e Fimserve.com di Fox Audience Network, che tutti insieme arrivano a coprire più di metà del mercato USA degli annunci pubblicitari online.
post sponsorizzato
I cybercriminali, purtroppo, non vanno mai in vacanza, nemmeno d'estate nè in occasione di grandi eventi come i Mondiali di calcio di Sudafrica 2010, che catalizzeranno l'attenzione di milioni di tifosi e appassionati in tutto il mondo per un mese esatto.
