Falle e vulnerabilità di sicurezza emergono quasi ogni giorno, ma questa volta un ricercatore ha trovato un sistema tanto semplice quanto geniale per violare i sistemi di ben 35 colossi della tecnologia, inclusi Apple, Microsoft, PayPal, Tesla, Netflix, Uber e molti altri ancora. L’idea parte dal fatto che molti software Open Source scaricano in automatico componenti e software pubblicati nei progetti e negli archivi online. Questo anche per diversi software che vengono impiegati dalle grandi multinazionali, anche in versioni personalizzate interne.
Così il ricercatore specializzato in sicurezza Alex Birsan ha iniziato a caricare negli archivi e nei server dei progetti pubblici, software e pacchetti creati ad hoc, con lo stesso nome dei programmi richiamati in automatico dai software interni delle società. Solo che i file creati dal ricercatore contenevano malware inoffensivo, inserito per dimostrare l’avvenuta violazione dei sistemi. Per alcuni pacchetti il ricercatore ha rilevato che veniva scaricata in automatico la versione del software o del pacchetto con il numero seriale più elevato, anche per file completamente vuoti.
Si tratta di una procedura molto più semplice rispetto all’impiego di software trojan o quella dell’ingegneria sociale che, in entrambi i casi, richiedono di confondere o ingannare una persona. Tutti i dettagli e i passaggi impiegati sono illustrati da BleepingComputer, da cui riportiamo anche una schermata. In pratica il ricercatore è riuscito a intrufolarsi nei sistemi di 35 colossi hi-tech con il minimo sforzo.
La presenza del suo malware all’interno dei sistemi aziendali, è valsa come dimostrazione dell’efficacia e del funzionamento di questa tecnica. Così Alex Birsan ha ottenuto come riconoscimento per aver avvisato le società di questa vulnerabilità, diversi premi in denaro. In particolare Microsoft ha annunciato di aver assegnato a Birsan un premio in denaro di 40.000 dollari, il massimo previsto per il programma di cacciatori di vulnerabilità di Remond. Anche Apple ha ssegnato un premio in denaro al ricercatore all’interno del suo Apple Security Bounty program. Complessivamente Birsan ha raccolto oltre 130 mila dollari.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.
