Numero 15 del 2019
Titolo: Novità dal Web.
Autore: Barbara Lispi.
Articolo:
Novità dal Web.
Di Barbara Lispi.
Ecco le novità dal Web:
1. Facebook permette di studiare il funzionamento delle sue App. Una nuova funzione di Facebook, Impostazioni Whitehat, permette di disattivare temporaneamente i controlli del meccanismo di certificate pinning: strumento che protegge il traffico gestito dalle applicazioni di Facebook evitando che sia monitorato da terzi. Attivate le Impostazioni Whitehat, Facebook disattiverà intenzionalmente il meccanismo di certificate pinning, così gli esperti di sicurezza potranno analizzare il traffico da e verso le sue app. Questa funzione sarà accessibile solo agli utenti di Android sulla versione principale di Facebook, su Facebook Messenger e su Instagram; mentre non potranno accedere alle Impostazioni Whitehat, gli utilizzatori di Device iOS. Questa possibilità dovrebbe facilitare il lavoro dei ricercatori consentendogli di rintracciare nuove vulnerabilità di sicurezza nell'ambito del programma Bug bounty.
2. Gli utenti di UC Browser sono esposti a rischi di attacco: ecco perché. Dr. Web, società specializzata in soluzioni per la sicurezza informatica, ha scoperto che UC Browser, nelle varie versioni, attiva il download di componenti aggiuntivi dai server della società sviluppatrice senza usare alcuna forma di crittografia: i dati sono scambiati in chiaro tramite il protocollo HTTP. Dr. Web ha mostrato com’è possibile sferrare attacchi man-in-the-middle. Un aggressore che si ponesse tra il Device dell'utente e i server di UC Browser, può alterare il flusso delle comunicazioni, modificare le informazioni in transito e iniettare codice dannoso. UC Browser e UC Browser Mini, entrambe ancora pubblicate sul Play Store di Google, sono affette da questo problema di sicurezza.
3. Mozilla suggerirà le migliori estensioni per Firefox. Il programma Recommended Extensions ha lo scopo di proporre agli utenti una selezione di estensioni per il browser Firefox che soddisfano i requisiti più stringenti in termini di affidabilità, sicurezza e qualità. Con il lancio di Firefox Quantum, tutti i componenti aggiuntivi per Firefox devono essere WebExtension. Diversamente rispetto alle vecchie estensioni, le WebExtensions non possono più interagire direttamente con il codice di Firefox minando la sua stabilità, quindi la sua sicurezza. Mozilla compie un passo in più decidendo di dare massima visibilità alle estensioni raccomandate certificandone la qualità e garantendone la sicurezza.
4. Il Garante europeo critica la telemetria di Office e avvia una verifica formale. Il Garante europeo della protezione dei dati ha avviato una serie di verifiche sul comportamento tenuto da Microsoft dopo la stipula di alcuni contratti con le istituzioni, per stabilire se Microsoft abbia operato in conformità con le disposizioni del GDPR, il Regolamento generale sulla protezione dei dati. L'iniziativa è partita dopo la presa di posizione delle Autorità olandesi che a novembre 2018 accusarono Microsoft di usare un meccanismo di telemetria celato all'interno della suite Office. La telemetria di Office, secondo il Garante, includerebbe un grande quantitativo di dati personali. Considerando la natura e le finalità di questa raccolta dati, è importantissimo che siano attuate le opportune salvaguardie a livello contrattuale oltre a una serie di misure per diminuire i rischi assicurando così piena compatibilità con la legislazione vigente.
5. Download del browser Edge basato su Chromium: disponibile l'anteprima. Le preview del nuovo Edge saranno suddivise in tre canali: le beta saranno le release più mature, in Dev saranno raccolte settimanalmente le migliori versioni giornaliere mentre nel canale Canary si troveranno quelle potenzialmente più instabili. Per ora, Edge potrà essere scaricato solo sui sistemi con Windows 10; ma in seguito sarà disponibile anche per Windows 7, Windows 8.1 e macOS X. Il nuovo Edge sarà disponibile, in un secondo tempo, anche su Windows 10 on ARM. Microsoft consente di installare simultaneamente più versioni di Edge provenienti da canali differenti, così gli utenti potranno provarne le caratteristiche e inviare eventuali feedback.
6. Windows 10, Microsoft ripristina la rimozione rapida per le unità USB. Microsoft, in un suo documento di supporto, spiega che l'impostazione predefinita per la rimozione delle unità di memorizzazione USB collegate al sistema è diventata Rimozione rapida. La rimozione sicura dell'hardware consente di disconnettere un supporto di memorizzazione esterno senza provocare alcuna corruzione a livello di file system. Le versioni di Windows 10 antecedenti la build 1809, invece, usavano l'impostazione predefinita Prestazioni migliori. Con l'intento di migliorare le prestazioni, Windows 10 attivava la cache in scrittura sulle unità USB esterne: in questi casi era tassativo ricorrere alla Rimozione sicura dell'hardware prima di disconnettere il dispositivo. È possibile verificarlo premendo Windows+X, scegliendo dal menu la voce Gestione disco, cliccando con il tasto destro sull'unità rimovibile, scegliendo Proprietà poi la scheda Criteri. Nella finestra che apparirà a video, si potranno applicare eventuali variazioni di configurazione.
7. Amazon lancerà oltre 3.200 satelliti per fornire connettività ultrabroadband. Amazon, che è anche proprietaria di una società aerospaziale chiamata Blue Origin, starebbe per lanciare nello spazio oltre 3.200 piccoli satelliti per offrire una connessione Internet a banda ultralarga in ogni angolo del pianeta. Stando alla documentazione trasmessa all'Unione internazionale delle telecomunicazioni, il fine del progetto, battezzato Project Kuiper, sarebbe quello di formare una costellazione di satelliti disposti in orbite geostazionarie a differenti altitudini, comunque disposti nell'orbita bassa terrestre o LEO (Low Earth Orbit). La connettività offerta sarà a bassa latenza, a elevate prestazioni e sarà resa disponibile principalmente nelle aree del globo oggi scarsamente servite oppure completamente digital divise.
8. Windows 10 Aggiornamento di maggio 2019: niente più update automatici. Windows 10 non installerà più automaticamente i feature update pubblicati a cadenza semestrale, ma lascerà liberi di scegliere se e quando applicarli. Anche gli utenti di Windows 10 Home potranno mettere in pausa l'installazione degli aggiornamenti ordinari. Dall'aggiornamento di maggio 2019 il sistema mostrerà una notifica informando l'utente che un nuovo feature update è ormai maturo per essere installato. L'installazione automatica del più recente feature update continuerà ad avvenire solo se la versione di Windows 10 installata avesse ormai raggiunto il suo fine vita e non fossero più rilasciati aggiornamenti di sicurezza. Cliccando sul pulsante Verifica disponibilità aggiornamenti nella finestra di Windows Update, gli utenti avranno la possibilità di posticipare l'applicazione degli aggiornamenti disponibili fino a 35 giorni.
9. Snake su Google Maps: come attivare una sorta d’intelligenza artificiale. Google ha agiunto il gioco Snake su Google Maps: rivisitazione un po’ più moderna del gioco nato negli anni '70 e presente anche nei primi telefonini apparsi sul mercato. Snake è accessibile andando nel menu principale dell'applicazione Maps e scegliendo la voce Gioca a Snake. I ricercatori di Check Point hanno forzato il videogioco sviluppando un semplice script JavaScript che introduce in Snake una sorta d’intelligenza artificiale capace di vincere sempre con il massimo punteggio possibile. Collegando un Device Android al PC via cavo USB, attivando le Opzioni sviluppatore sullo smartphone quindi Debug USB, avviando il browser Chrome e accedendo agli Strumenti per gli sviluppatori, è possibile studiare il funzionamento dell'applicazione web Snake.
10. Numeri e dati delle carte di credito intercettati sui siti di ecommerce. Un gruppo di criminali informatici ha immesso in rete un set di JavaScript malevoli capaci di registrare le attività degli utenti su alcuni siti di ecommerce. Il codice JavaScript in questione svolge un'azione di keylogging registrando i tasti premuti dagli utenti e sottraendo il contenuto dei campi dove sono inseriti i dati delle carte di credito. Alcuni ricercatori spiegano di aver rilevato ben 38 famiglie di codici JavaScript che fanno uso di codice per sottrarre dati. Questa ennesima minaccia è stata battezzata JS-Sniffer.
11. WhatsApp permette di bloccare l'iscrizione ai gruppi. Una nuova funzione consentirà, agli utenti, di bloccare l'iscrizione automatica ai gruppi WhatsApp creati da altri. Per configurare questa nuova funzione basterà toccare sul pulsante in alto a destra raffigurante tre puntini in colonna, oi, Impostazioni, Account, Privacy, infine Gruppi. Qui si potrà scegliere Tutti, I miei contatti o Nessuno. Nel primo caso altri utenti potranno continuare ad aggiungere l'account WhatsApp dell'utente ai nuovi gruppi; nel secondo, tale possibilità sarà riservata solo a chi già si trova nella propria lista di contatto; nell'ultimo, in nessun caso si potrà essere aggiunti a gruppi creati da altri. Comunque, chi creerà un gruppo potrà invitare a partecipare anche chi avesse selezionato le opzioni I miei contatti o Nessuno: entro 72 ore l'utente potrà decidere se accettare, ignorare o rigettare la richiesta inviata sotto forma di messaggio.
12. Open Fiber, siglata la convenzione per il terzo bando. Il punto sullo stato dei lavori. Infratel Italia, società in-house del Ministero dello Sviluppo Economico (MISE), e Open Fiber hanno firmato la concessione riguardante il terzo bando per la realizzazione della nuova rete a banda ultralarga in Puglia, Calabria e Sardegna. Open Fiber si era aggiudicata anche la terza gara dopo aver vinto le prime due. Open Fiber realizzerà la rete nelle aree bianche o "a fallimento di mercato" che insistono in tutte le regioni d'Italia, zone nelle quali nessun operatore privato aveva mai fatto investimenti prima. Usando gli investimenti pubblici, Open Fiber costruirà la nuova rete (che resterà di proprietà dello Stato) e la manterrà in concessione per 20 anni. Nei prossimi 9-12 mesi Open Fiber conta di completare la progettazione della rete, ottenere le autorizzazioni per realizzare i lavori e assegnare gare alle imprese per materiali, opere e sicurezza.
13. Applicare aggiornamenti per Windows e gli altri software senza riavviare il sistema. Acros Security, azienda specializzata nello sviluppo e nella commercializzazione di soluzioni per la sicurezza informatica, ha presentato 0patch, soluzione capace di proteggere il sistema da centinaia di vulnerabilità scoperte non soltanto in Windows ma anche in tutti i principali software. 0patch riesce ad apportare correttivi in tempo reale per risolvere i vari problemi di sicurezza senza installare nulla e senza riavviare il Pc. Protegge anche dagli attacchi 0-day perché è molto celere nel rilasciare patch correttive prima ancora degli sviluppatori di ciascun software. Acros Security ha lanciato due versioni: 0patch, gratuita per gli utenti privati; 0patch PRO, progettata per i professionisti che costerà 22,95 euro all'anno per singolo agent. 0patch sarà anche molto utile quando Microsoft ritirerà il supporto ufficiale a Windows 7.
14. Secondo alcuni membri del team Mozilla, Google avrebbe sabotato Firefox. Johnathan Nightingale, ex vice presidente del progetto Firefox presso Mozilla, ha lanciato, nei confronti di Google, accuse molto pesanti. Secondo Nightingale, dall'arrivo di Chrome, ogni volta che gli utenti cercavano Firefox sul motore di Google, appariva loro l'invito a usare questo nuovo browser e allo stesso tempo, Gmail e Google Docs hanno iniziato a evidenziare problemi se usati con Firefox anziché con Chrome. A ogni richiesta di spiegazioni, Google rispondeva che si sarebbe attivata per risolvere il problema. Comunque, non è la prima volta che Google è accusata di pratiche simili.
15. Disattivare servizi a pagamento sarà più facile secondo AGCOM. Il CASP, Codice di Autoregolamentazione per l'offerta dei servizi premium, recentemente approvato dall'AGCOM, dovrebbe tutelare i consumatori, ma anche le aziende. Il CASP prevede l'introduzione di un numero unico gratuito già attivo, 800442299, tramite il quale l'utente può conoscere i servizi premium attivi e nel caso disattivarli. Gli operatori dovranno garantire la tracciabilità della volontà del cliente di acquistare o attivare il servizio in modalità one shot o in abbonamento e della disattivazione del servizio premium. La conservazione di questi dati dovrà essere garantita per un periodo conforme alla normativa vigente che fissa il termine massimo, in assenza di reclamo, in 6 mesi dall’acquisto del servizio contestato, se one shot, e in 6 mesi dalla disattivazione, per i servizi in abbonamento.
Per ulteriori spiegazioni, scrivere a:
Barbara Lispi