Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/software-asus-live-update-bucato-1-milione-di-utenti-a-rischio-agg-con-posizione-di-asus_81497.html

Centinaia di migliaia di utenti ASUS, forse anche oltre un milione, sono rimasti vulnerabili per mesi ad una falla scoperta nel servizio ASUS Live Update

Click sul link per visualizzare la notizia.

a prescindere dalla tipologia di infezione, che trovo piuttosto inaccettabile (e di questo passo andrà sempre peggio dato che tutto è sempre più in remoto/cloud) trovo che lo sia ancora maggiormente il fatto che a divulgare la notizia, quasi un anno dopo, sia un'azienda che si occupa di sicurezza, con (comprensibili, dal loro punto di vista) scopi pubblicitari

Sempre simpatico constatare che c'è gente che manco sa come aggiornare in autonomia e si affida a certi software, per giunta di Asus sta volta. :asd:
Di quest'ultima ho sempre preso l'HW ma mi son sempre tenuto lontano dal SW.

quindi se ho capito bene il problema riguarda chi si affida al sw asus per aggiornare il prodotto... sono salvo :asd:

ma la cosa più grave di tutta la faccenda è che ASUS, in prima battuta (ma anche in seconda), abbia tentato di far passare sotto silenzio quanto emerso
(vedi ad es anche
https://i.postimg.cc/VvwwNtRr/Image-1.jpg
ma non solo visto che on line ci sono altre testimonianze).

D'altro canto è tutto in linea con altri episodi recenti dove hanno avuto addirittura il coraggio di sostenere, di fronte alla scoperta di gravi vulnerabilità di tipo EoP nei loro software (che controllavano le "lucine", giusto x conoscenza), che in definitiva loro "si intendevano solo di hardware" :mbe: (per cui in poche parole non avevano capacità/stimoli per chiudere le falle).

Ripeto:
fantascienza o realtà?

Quest'ultima giustificazione semmai è stata addotta anche da un altro produttore hardware di caratura globale (come a dire: sai, in fondo lo fanno anche altri, consolati)...

Non è solo Kaspersky, l'articolo di ieri di Vice menziona una conferma ricevuta anche dai ricercatori di Symantec.

mi chiedo come si possa usare un pc con tutto il crapware installato di default.. la prima cosa che faccio dopo l'acquisto è il formattone.

Cmq bella figura cacina, asus..

non saper fare da soli non è necessariamente una colpa, ed è chiaro che fare da sè ti esclude dal problema (da questo almeno) ma se l'informatica fosse usata solo da chi sa gestirla, la storia sarebbe stata molto diversa

a questo punto stacchiamo tutte le prese, tanto la sicurezza assoluta non esiste

curioso cmq di leggere il comunicato ufficiale, che chissà se sarebbe stato fatto con queste (previste, almeno) tempistiche

mi chiedo come si possa usare un pc con tutto il crapware installato di default.. la prima cosa che faccio dopo l'acquisto è il formattone.

Cmq bella figura cacina, asus..

ora che mi ci fai pensare ho sostituito il disco a piatti con un ssd al d1 sul notebook :asd:

...D'altro canto è tutto in linea con altri episodi recenti dove hanno avuto addirittura il coraggio di sostenere, di fronte alla scoperta di gravi vulnerabilità di tipo EoP nei loro software...che in definitiva loro "si intendevano solo di hardware" :mbe:...
et voilà, 22.12.18:
https://www.hwupgrade.it/forum/showpost.php?p=45962838&postcount=34562

da cui, dopo il rimpallo su Bleepingcomputer, si arriva a https://www.secureauth.com/labs/advisories/asus-drivers-elevation-privilege-vulnerabilities (tutt'ora non fixate da quanto sembra di capire).
E' spettacolare peraltro la timeline (li hanno presi anche per il (°) dai).

Meglio non fa cmq anche Gygabyte, evidentemente solita pasta: https://www.secureauth.com/labs/advisories/gigabyte-drivers-elevation-privilege-vulnerabilities


2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software


:rotfl: (e non risolte neppure queste).



Quello che in definitiva sto dicendo?
Che si vuole ben altro che una dichiarazione pubblica (quella al limite è adatta per le testate giornalistiche che hanno cosi' materiale per scrivere nuovi pezzi), la "gente" vuole rispetto e professionalità e non essere presa per il c u l o...

Non è nemmeno la questione della dichiarazione pubblica, Kaspersky ha incontrato un rappresentante di Asus e inizialmente c'erano stati contatti ma poi hanno detto che Asus ha smesso di rispondere ed ha anzi negato il coinvolgimento dei propri server e certificati.

non saper fare da soli non è necessariamente una colpa, ed è chiaro che fare da sè ti esclude dal problema (da questo almeno) ma se l'informatica fosse usata solo da chi sa gestirla, la storia sarebbe stata molto diversa

a questo punto stacchiamo tutte le prese, tanto la sicurezza assoluta non esiste

curioso cmq di leggere il comunicato ufficiale, che chissà se sarebbe stato fatto con queste (previste, almeno) tempistiche

Nessuno nasce imparato
Però
Però
La mania di infilare accessi obbligatori a server internet per far funzionare qualsiasi cosa, dal driver del mouse che salva le personalizzazioni solo su server remoto, al programma che funziona solo "cloud" così da farti pagare una volta al mese invece che una volta sola, al videogioco che anche se è single player deve collegarsi al server, alle casse musicali che suonano solo roba online, al termostato "smart", al frigorifero "always on line", fra un po' se ti cade il collegamento internet manco accendi la luce del cesso ...
Tutte queste bojate online servono solo a raccattare informazioni da vendere, spillarti soldi extra e a far morire prematuramente dispositivi che potrebbero funzionare ancora benissimo ma per farlo richiedono server che non esistono più.
E questi software aprono porte, ognuna delle quali è un possibile punto di ingresso per cani&porci, specialmente se sono crapware scritti con i piedi come spessissimo accade anche per marche blasonate, in cui la cultura della sicurezza spesso non esiste del tutto, se persino faccialibro dopo tutti i casini si tiene utenze e password in chiaro sui pc dei dipendenti quale pensate possa essere il livello di sicurezza dei produttori di PC cinesi ?

Nessuno nasce imparato
Però

niente da dire, sono d'accordo, ma la mia nota era su molti commenti che additano come quasi più responsabili gli utenti che abbiano usato il tool, che in questo caso non è un'utility 'terza', ma uno strumento fornito dal produttore

se siamo arrivati a considerare normale un caso di questo genere, forse è questa la cosa poco normale

Ho la vaga sensazione che si faccia troppa pubblicità a Kaspersky.
Mi sembra quasi strano che sia solo Kaspersky a rilevare questi problemi, in tutti gli articoli riguardante a problemi di virus e compagnia varia ho notato che si mette sempre in evidenza l'antivirus Kaspersky. Sarà un caso ma la domanda mi è sorta spontanea. Spero solo di sbagliarmi.

notare peraltro come effettivamente non si siano neppure degnati di un riconoscimento a favore di chi ha fatto la segnalazione, ASUS response to the recent... (https://www.asus.com/News/hqfgVUyZ6uyAyJe1)

https://i.postimg.cc/ZKGYzPxF/Image-1.jpg

ASUS Admits Its Live Update Utility Was Backdoored by APT Group (https://www.bleepingcomputer.com/news/security/asus-admits-its-live-update-utility-was-backdoored-by-apt-group/)


Da oggi effettivamente potrebbero cambiare slogan prendendolo in prestito dal marchese del Grillo, "io sò io...e voi non siete un c a z z o (https://www.youtube.com/watch?v=Dclfv63lYTA)" (filmato)

il fatto che scrivano di avere già chiuso il buco mi pare surreale, o meglio, normale in un mondo dove comanda quasi solo lo slogan

poi danno da pensare le tempistiche... cmq illazioni, e sticazzi

Quindi, e per concludere anche la storia:
se chi punzecchia è un'autorità (e Kaspersky infatti non è l'aziendina rimediata in cantina) allora si è costretti giocoforza a "rispondere" (fregandosene chiaramente dell'educazione ma questo è un altro capitolo, il fix arriva) mentre se questa voce fastidiosa è di ricercatori indipendenti figurarsi, "o cosi' o pomi'" (= dei tuoi warning mi ci sciacquo le °° perchè la tua forza mediatica è nulla o, quantomeno, confinata all'interno di certi canali specializzati ergo non risolvo proprio una bella fava...e infatti mancano i fix ai problemi segnalati...con Gigabyte chiaramente sullo stesso piano).

Questa in poche parole è la lettura.

E non mi possono neppure denunciare perchè in aula porterei nient'altro che quello che si legge on line, ben documentato e proveniente da fonti attendibili (ricercatori etc).

Il vero virus è nello strumento diagnostico

non saper fare da soli non è necessariamente una colpa, ed è chiaro che fare da sè ti esclude dal problema (da questo almeno) ma se l'informatica fosse usata solo da chi sa gestirla, la storia sarebbe stata molto diversa
la mia è una constatazione dettata dai fatti: qualsiasi pc di qualunque marca è sempre stato venduto ricolmo di inutility e programmi fastidiosi (se non perniciosi). E questo al netto dei problemi di sicurezza.

Piallare tutto e reinstallare ciò che serve lo considero quasi necessario.

figuriamoci, da praticamente sempre sono k.i.s.s.
tuttavia resto dell'opinione che sia un caso a sè stante questo. nel senso che sono stati bucati iniettando lato server (e hanno risolto, certo apparentemente, in poche ore)

penso che dietro le quinte stiano volando enormi quantità di stracci, tutti belli sporchi per aver tentato di pulire la merda pestata :fiufiu: