VLC, Popcorn Time e Kodi: porte di accesso per Hacker tramite l’utilizzo dei sottotitoli

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/program...oli_68879.html

Alla base di questo bug ci sarebbe l’assenza di qualunque tipo di controllo preliminare durante la procedura di importazione nel video dei sottotitoli contenuti nel file, una mancanza che gli sviluppatori di questi lettori multimediali prima d’ora non avevano mai preso in considerazione


Click sul link per visualizzare la notizia.

[s0nnyd3marco]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Link alla notizia: http://www.hwupgrade.it/news/program...oli_68879.html

Alla base di questo bug ci sarebbe l’assenza di qualunque tipo di controllo preliminare durante la procedura di importazione nel video dei sottotitoli contenuti nel file, una mancanza che gli sviluppatori di questi lettori multimediali prima d’ora non avevano mai preso in considerazione


Click sul link per visualizzare la notizia.

Facepalm...

[Perseverance]

O non era sicuro il software opensource? (rivolto a chi ne capisce zero e crede di essere programmatore)

A riprova del fatto che sia open o closed, se è fatto male....è fatto male! E la cosa più inquietante è la sensazione di falsa sicurezza che dà il software open.

Quanti di noi, anche programmatori (mi ci metto pure io) che hanno usato questi programmi si sono mai letti una riga di codice sorgente? Eppure è una cosa stupida, un controllo di coerenza, un si-va-bene\no-scartare; e in tutti questi anni nessuno, sviluppatori compresi, l'hanno implementato. Eppure il sorgente è lì, aperto a tutti.

Spero che gli utenti prima o poi capiscano che la sicurezza non è avere un software open o closed, ma è l'abilità con cui viene scritto il software: il programmatore non deve solo scrivere un software che funziona, ma deve scriverlo in modo che funzioni solo in quel modo, altrimenti altri lo faranno funzionare per lui a proprio piacere. Poi se è open, tanto meglio.

[massimilianonball]

La forza del software open non sta nel fatto che sia migliore, come fai notare giustamente se un software è scritto male, è scritto male a fine.
Il vantaggio del mondo open è che ha un numero potenzialmente infinito di persone che possono risolvere il problema ..e non è un vantaggio da poco..
Nessuna multinazionale può contattare su un numero tanto elevato di programmatori ..senza contare le politiche aziendali, la burocrazia e/o tutti quei fattori che rendono il lavoro della multinazionale certamente meno "reattivo".

Tutto questo secondo me ovviamente..

[acerbo]

Quote:

Originariamente inviato da Perseverance

O non era sicuro il software opensource? (rivolto a chi ne capisce zero e crede di essere programmatore)

A riprova del fatto che sia open o closed, se è fatto male....è fatto male! E la cosa più inquietante è la sensazione di falsa sicurezza che dà il software open.

Quanti di noi, anche programmatori (mi ci metto pure io) che hanno usato questi programmi si sono mai letti una riga di codice sorgente? Eppure è una cosa stupida, un controllo di coerenza, un si-va-bene\no-scartare; e in tutti questi anni nessuno, sviluppatori compresi, l'hanno implementato. Eppure il sorgente è lì, aperto a tutti.

Spero che gli utenti prima o poi capiscano che la sicurezza non è avere un software open o closed, ma è l'abilità con cui viene scritto il software: il programmatore non deve solo scrivere un software che funziona, ma deve scriverlo in modo che funzioni solo in quel modo, altrimenti altri lo faranno funzionare per lui a proprio piacere. Poi se è open, tanto meglio.

e che c'entrano i programmi? La sicurezza deve assicurarla l'os su cui girano e fino a prova contraria qua come al solito si parla di windows

[Varg87]

Quote:

Originariamente inviato da acerbo

e che c'entrano i programmi? La sicurezza deve assicurarla l'os su cui girano e fino a prova contraria qua come al solito si parla di windows

Eh già, perchè le smart tv ed i vari mediaplayer montano solitamente Windows.

"According to a blog post published by Check Point security, a subtitle file could be modified to create a new attack vector and compromise the devices such as PCs, mobile devices, TVs, etc running vulnerable media players. Once compromised, the attacker can perform remote code execution, steal data, use the device as a pawn in a DDoS attack, and more."



Piuttosto, come mai solo questi programmi sono vulnerabili? Stremio per funzionare deve girare come amministratore. Fate voi...
MPC-HC è sicuro?

[LucaLindholm]

Neanche a farlo apposta, VLC e Kodi (ex XBMC) sono entrambe disponibili nel Win Store, la prima come app UWP, la seconda come porting del relativo software Desktop, quindi anch'essa ben sandboxata, in modo da non poter far danni.

[acerbo]

Quote:

Originariamente inviato da Varg87

Eh già, perchè le smart tv ed i vari mediaplayer montano solitamente Windows.

"According to a blog post published by Check Point security, a subtitle file could be modified to create a new attack vector and compromise the devices such as PCs, mobile devices, TVs, etc running vulnerable media players. Once compromised, the attacker can perform remote code execution, steal data, use the device as a pawn in a DDoS attack, and more."



Piuttosto, come mai solo questi programmi sono vulnerabili? Stremio per funzionare deve girare come amministratore. Fate voi...
MPC-HC è sicuro?

quindi quale sarebbe il problema, rischi un DDoS? a casa tua?
Se esponi un qualunque dispositivo su internet, ivi compresa la tua smart TV rischierai sempre e comunque se non ti doti quanto meno di un firewall, io ricevo in media dai 10 ai 15 tentativi di accesso da ip sconosciuti sul nas.
io kodi lo uso solo per vederci i file che ho in locale, non attivo nessun servizio http e non abilito servizi accessibili da internet, cosa che tra l'altro é disabilitata di default

[Varg87]

Quote:

Originariamente inviato da acerbo

quindi quale sarebbe il problema, rischi un DDoS? a casa tua?
Se esponi un qualunque dispositivo su internet, ivi compresa la tua smart TV rischierai sempre e comunque se non ti doti quanto meno di un firewall, io ricevo in media dai 10 ai 15 tentativi di accesso da ip sconosciuti sul nas.
io kodi lo uso solo per vederci i file che ho in locale, non attivo nessun servizio http e non abilito servizi accessibili da internet, cosa che tra l'altro é disabilitata di default

Bravo, che ti devo dire. Senza offesa ma di come lo usi te Kodi non è che mi interessi molto.
Kodi è utilizzato anche per fruire di contenuti online, io lo uso specialmente per quello. Per quanto riguarda Popcorn Time e Stremio invece non penso serva commentare.
Girala come vuoi ma resta il fatto che è indipendente dall'OS utilizzato e considerato che specialmente i firmware delle smart tv non ricevono praticamente mai aggiornamenti non mi pare ci sia da riderci tanto sopra.

[acerbo]

Quote:

Originariamente inviato da Varg87

Bravo, che ti devo dire. Senza offesa ma di come lo usi te Kodi non è che mi interessi molto.
Kodi è utilizzato anche per fruire di contenuti online, io lo uso specialmente per quello. Per quanto riguarda Popcorn Time e Stremio invece non penso serva commentare.
Girala come vuoi ma resta il fatto che è indipendente dall'OS utilizzato e considerato che specialmente i firmware delle smart tv non ricevono praticamente mai aggiornamenti non mi pare ci sia da riderci tanto sopra.

gli hacker si approprieranno della tua smart tivvi e ti costringeranno a vedere il costanzo show e amici
kodi comunque a meno di non disabilitare l'opzione si aggiorna da solo, sulla shield TV ieri sono passato alla 17.3, di sta falla sulla sicurezza ne sentiremo parlare ben poco all'atto pratico

[Therinai]

Non sono certo un esperto di sicurezza (non ne so nulla in realtà), ma ho semplicemente letto le note di checkpoint:

Quote:

How can this attack vector spread?

Delving even further into the subtitle supply chain produced some interesting results. There are a number of shared online repositories, such as OpenSubtitles.org, that index and rank movie subtitles. Some media players download subtitles automatically; these repositories hold extensive potential for attackers. Our researchers were also able to show that by manipulating the website’s ranking algorithm, we could guarantee crafted malicious subtitles would be those automatically downloaded by the media player, allowing a hacker to take complete control over the entire subtitle supply chain, without resorting to a Man in the Middle attack or requiring user interaction. This vulnerability also affects users who use these rankings to decide which subtitles to download manually.

Insomma, in riferimento ai precedenti commenti:
- che cavolo c'entra il paragone tra software open or not???
- che c'entra la sicurezza dell'SO?
- c'entra in parte chi sviluppa i players, perché nessuno si è mai posto il problema di verificare la sicurezza dei file caricati dai server, ma dal momento che si parla di sottotitoli per contenuti video spannometricamente ci sta che nessuno si aspettava questo genere di hack
- alla fine della fiera la sorgente di tutto sono le repository, sulla quale puoi caricare quello che ti pare e manipolarne (a quanto pare facilmente) i ranking.

Tempo di analisi del caso: 10 minuti.
Conoscenze in tema sicurezza: prossime allo zero.

Dai raga, meno pippe fantapolitiche sulla programmazione e più logica. Pure al bar sport si sentono commenti di maggior spessore su questi temi.

ps: e i numeri sparati (centinaia di milioni di possibili utenti vulnerabili) sono ovviamente da interpretare. E' vulnerabile chi scarica dei sottotitoli contenenti codice malevolo da una repository. Non è che se fai partire un dvd con i suoi sototitoli in inglese da VLC sei fottuto -_-

[Perseverance]

Bar sport un par di palle!

Finché ti scrivi il tuo programma da solo riempitelo pure di bug quanto ti pare, ma se fai un programma\script baggato, che usano milioni di persone come vlc e kodi o che serve un'infrastruttura più grande che ospita anche dati personali come il caso imagemagik di pochi giorni fà su yahoo....non ci sono scuse....tanto più se le cose vengono fatte quando si conosce già la pericolosità.

Se vi và bene così avanti tutta allora. Poi non lamentatevi se il personaggio di turno magari indagato, con millemila capi d'accusa, colpevole ma non processato, recidivo diventa un ministro di qualcosa o assessore qui e là e continua a fare disastri....lo si sapeva si dice a posteriori... bah

La sicurezza informatica non è un tema da bar sport, se la vedi così amen, spero che non ti succeda mai. Sappi xò che come te, sono molti a prenderla sotto gamba.

Quote:

ps: e i numeri sparati (centinaia di milioni di possibili utenti vulnerabili) sono ovviamente da interpretare. E' vulnerabile chi scarica dei sottotitoli contenenti codice malevolo da una repository. Non è che se fai partire un dvd con i suoi sototitoli in inglese da VLC sei fottuto -_-

Ho capito, ma oggi è vlc domani chissà che cosa. Il fatto è che c'è l'usanza di fare e dare in pasto al pubblico, senza controllare la correttezza del software; questi che saltano fuori ormai settimanalmente sono tremendi svarioni di cattiva programmazione ed uno dei motivi è il fatto che i programmatori (e mi ci metto anche io) copiano\incollano funzioni e codice xkè "tanto funziona" senza poi preoccuparsi di vedere se sono baggati. Il tema della sicurezza informatica è trascurato molto dagli utenti e anche dagli stessi programmatori purtroppo: xkè richiede risorse, tempo e spesso denaro.

[zappy]

Quote:

Originariamente inviato da Perseverance

...Il fatto è che c'è l'usanza di fare e dare in pasto al pubblico, senza controllare la correttezza del software; ....

come già detto, nell'open se ne può accorgere chiunque e chiunque può correggerlo. nel closed (che generalmente è pure a pagamento) no.
in altri termini, mi sembra molto meno difendibile MS coi bachi decennali di SMB che non VLC per un vettore d'attacco così poco comune (e peraltro non facilmente attivabile: uso vlc da sempre e non ho mai scaricato un sottotitolo).

fra parentesi è altamente probabile (se non certo) che NSA e similari paghino delle persone per infilare bug nei sw più diffusi, che siano open o closed.
ma nell'open è un po' più semplice accorgersene e di certo non c'è da pregare questa o quella sw house di metterci una pezza.

[Perseverance]

Quote:

come già detto, nell'open se ne può accorgere chiunque e chiunque può correggerlo. nel closed (che generalmente è pure a pagamento) no.

Dovrebbe essere così in teoria, xò purtroppo in pratica non lo è. Anche tu fossi programmatore, ma chi te lo fa fare di andare a vedere il sorgente di un software che nemmeno usi in cerca di bug? Il codice è aperto, ma in quanti lo guardano? e chi è capace di debuggarlo?

Non fraintendermi io la penso come te.

Il discorso NSA è più complicato di così cmq, non solo pagano, ma se vogliono attaccare un sistema lo studiano, dalle resistenze usate ai chip al software che ci gira sopra, alla fine acquisiscono così tanta conoscenza che lo conoscono meglio di chi lo ha inventato.

Ti rimando alla lettura di questo articolo un po' vecchiotto ma attualissimo come non mai, così capisci un po' come la penso io (anche in vista del futuro delle Internet of Things IoT): http://theinvisiblethings.blogspot.i...-security.html

[massimilianonball]

Quote:

Originariamente inviato da Perseverance

Dovrebbe essere così in teoria, xò purtroppo in pratica non lo è. Anche tu fossi programmatore, ma chi te lo fa fare di andare a vedere il sorgente di un software che nemmeno usi in cerca di bug? Il codice è aperto, ma in quanti lo guardano? e chi è capace di debuggarlo?

Non fraintendermi io la penso come te.

Il discorso NSA è più complicato di così cmq, non solo pagano, ma se vogliono attaccare un sistema lo studiano, dalle resistenze usate ai chip al software che ci gira sopra, alla fine acquisiscono così tanta conoscenza che lo conoscono meglio di chi lo ha inventato.

Ti rimando alla lettura di questo articolo un po' vecchiotto ma attualissimo come non mai, così capisci un po' come la penso io (anche in vista del futuro delle Internet of Things IoT): http://theinvisiblethings.blogspot.i...-security.html

Non ho ben capito come la pensi, nel senso che prima dici che dovrebbe essere così, ma non lo è ..e poi dici che la pensi come lui (/me); ad ogni modo, non è che il discorso del "controllo condiviso del codice" open source è da intenderesi come una roba tipo: "..questa mattina mi sveglio e mi metto a spulciare le righe di codice alla ricerca di una falla-bug-problema..ecc..".

Diciamo che per la mia esperienza ho sempre visto che i problemi vengono risolti per spunti degli utenti (le bug list) o xké dal momento che in tantissimi lavorano sui progetti (sia sul codice principale presente ad esempio su ghithub, sia sulle varie branch disponibili), l'errore "salta fuori".

Ovviamente questa è la mia opinione basata sulla mia esperienza

[zappy]

Quote:

Originariamente inviato da Perseverance

Dovrebbe essere così in teoria, xò purtroppo in pratica non lo è. Anche tu fossi programmatore, ma chi te lo fa fare di andare a vedere il sorgente di un software che nemmeno usi in cerca di bug? Il codice è aperto, ma in quanti lo guardano? e chi è capace di debuggarlo?

Non fraintendermi io la penso come te.[/url]

non è che uno si mette a debuggare una cosa che non usa e non gli interessa.
ma magari se uno studia ingegneria informatica e deve scrivere una tesina sul TCP o su SMB, si va a vedere il codice come è stato implementato in una distribuzione linux e se trova un errore lo segnala e/o lo corregge.
se invece uno si occupa di compressione video, si spulcerà il codice di xvid o di VLC.
ecc ecc.

ognuno fa quel che sa fare con le competenze che ha: se conosci C potrai ravanare nelle robe fatte in C, se consoci php, puoi curiosare in un cms, se non sai nulla e sai solo l'inglese puoi tradurre un sw ed imparare ad usarlo 10000 volte meglio che guardando un tutorial su Youtube.

E t'assicuro che questi non sono solo uno sfizio o una pippa da nerd: acquisisci anche competenze molto dettagliate ed approfondite sul tema.

[Sandro kensan]

Bug corretto: arrivato oggi la nuova versione dei software VLC e collegati.

[Perseverance]

Quote:

Originariamente inviato da Sandro kensan

Bug corretto: arrivato oggi la nuova versione dei software VLC e collegati.

Almeno su windows si, almeno quello. Sulle altre distribuzioni linux a volte non arrivano mai.

[zappy]

Quote:

Originariamente inviato da Perseverance

Almeno su windows si, almeno quello. Sulle altre distribuzioni linux a volte non arrivano mai.

vero.
il modello x cui il SO è aggiornato insieme agli applicativi è sempre meno sostenibile, imho.
x se non vedo perchè non posso aggiornare libreoffice indipendentemente dalle librerie di base del sistema o dal Desk.env.