L’attacco hacker ad Hacking Team e la pubblicazione delle email private su Wikileaks hanno catapultato la società italiana dei software-spia sulle prime pagine di quotidiani e siti Internet di tutto il mondo. Ne parla oggi anche Forbes, che considera la vicenda “illuminante sotto numerosi profili”.
Secondo la testata americana, Hacking Team è stata disonesta riguardo alle nazioni presenti sulla sua lista di clienti. In più l’attacco alla società italiana ha ricordato all’opinione pubblica che Hacking Team non è l’unica azienda a fornire strumenti di spionaggio informatico ai governi. Ma anche, l’attacco hacker ha confermato che Adobe Flash ha gravi problemi di sicurezza e i pirati informatici sanno bene come sfruttare queste vulnerabilità per diffondere i loro codici maligni.
Come noto, gli hacker che hanno compromesso Hacking Team hanno pubblicato 400 GB di dati sensibili, tra cui il codice sorgente del software Galileo, una console per il controllo remoto sviluppata per clienti governativi. Galileo fa un monitoraggio dei sistemi target installando un agente e gli esperti di sicurezza hanno studiato nei giorni scorsi il codice messo a nudo dagli hacker per capire come funziona. Galileo userebbe una serie di vulnerabilità zero-day (quelle per cui non esistono ancora patch) per evitare di essere scoperto e impiantare il software agent. Tre delle quattro vulnerabilità zero-day scoperte finora si trovano in Adobe Flash.
Non sappiamo se gli hacker che hanno preso visione dei codici di Hacking Team fossero già a conoscenza di questi difetti di Adobe, ma ora che il codice sorgente della società italiana è stato pubblicato, le falle zero-day di Adobe Flash sono di pubblico dominio. “I cybercriminali hanno studiato e sono riusciti a integrare tutte e tre le vulnerabilità zero-day nei principali Exploit Kit mettendo a rischio tutti gli utenti del prodotto di Adobe“, spiega Wolfgang Kandek, Cto di Qualys, in un blog post. “Siccome non esistevano patch fino ad oggi per queste falle, il nostro consiglio è di disinstallare Flash per neutralizzare l’attacco, usare Emet su Windows per rafforzare ulteriormente il browser o usare Google Chrome come browser perché non è colpito da almeno uno delle zero-day di Flash”.
Russ Ernst, director of product management di Heat Software, aggiunge: “Le tre falle interessano le versioni di Flash 9.0 fino alla 18.0.0.204 in Windows, Mac e Linux: se dovete usare Flash, assicuratevi di avere la versione più recente e attuale. Ad ogni modo la sicurezza massima al momento si ha disinstallando il media player completamente”.
Non a caso, Mozilla ha già disabilitato Flash automaticamente dal suo web browser Firefox e Alex Stamos, chief security officer di Facebook, ha scritto su Twitter che “è ora che Adobe annunci la fine di Flash e permetta ai browser di disabilitarlo”.
Steve Jobs si rivela ancora una volta profetico, nota Forbes. Ad aprile 2010 il fondatore di Apple aveva spiegato dettagliatamente in un articolo sul sito ufficiale della Mela perché si era rifiutato di incorporare il supporto per Adobe Flash nel sistema operativo mobile iOs. Jobs spiegava che Apple avrebbe usato invece Html5, Css e JavaScript che sono standard aperti e controllati da un comitato preposto a vigilare sugli standard di cui Apple fa parte. Ma soprattutto per Jobs il problema si sintetizzava in tre parole: “Reliability, security and performance”; dati di Symantec dimostravano che Flash non era sicuro e Jobs confermava che causava problemi ai Mac e non era ottimizzato per le piattaforme mobili. “Non vogliamo ridurre l’affidabilità e la sicurezza dei nostri iPhone, iPod e iPad aggiungendo Flash“, concludeva Jobs.
Agli inizi dell’era Android il supporto di Adobe Flash è stato presentato come uno dei principali elementi di differenziazione tra device Android e device iOs, ma alla fine Adobe ha tolto il supporto di Flash anche sugli Android, forse una tacita ammissione che Jobs aveva ragione: Flash non è adatto ai sistemi mobili, non è affidabile e sicuro.
E’ anche vero che Adobe ha fatto grandi passi in avanti sul fronte della sicurezza ma, conclude Forbes, la vicenda di Hacking Team sembra provare che le falle non sono tutte risolte e che è forse l’ora di pensionare Flash.