New Massive Security Breach Exposes Damn Near Everyone’s Everything

Author: Joel Hruska ExtremeTechExtremeTech

This site may earn affiliate commissions from the links on this page. Terms of use.

Security researcher Troy Hunt, who maintains the website Have I Been Pwned for those who want to know if their email address and/or passwords have been compromised in any security breaches (spoiler alert: Yup) has released a report on a truly massive breach of some 773 million records. Even worse, that’s actually the net impact after Hunt attempted to strip the data set of duplicates and useless fields that didn’t actually contain email addresses or associated passwords.

The monster data dump goes by the prosaic “Collection #1” and contains 1.16B unique combinations of email addresses and passwords, but only 772 million unique email addresses. It’s the largest data dump to ever be loaded into Have I Been Pwned, and it represents a sort of meta-breach collection rather than the results of any single security exploit or corporate security shortfall.

The data in the breach comes from a variety of sources and Hunt stresses that not all of the ‘breaches’ have been verified, which is to say that not every database claimed to be represented in the hack may actually be represented in the hack. If you’ve ever explored the leaked material around your own email address, you’ve probably realized that not every leak contains accurate information — while I’ve seen my own email associated with passwords that I’ve used in the past, I’ve also seen emails I’ve used associated with passwords I’ve never used with those accounts.

A golden opportunity was missed to call this “1 Collection.” I’ll show myself out.

Hunt’s blog post contains instructions for how visitors can use Have I Been Pwned, as well as its companion application, Pwned Passwords. You can not only search for your email address to see if it’s been breached, but you can also check to see if your password has been seen. Hunt also discusses the ethical implications of creating a website where people check to see if their passwords have been leaked by entering them — check his blog post for more of his thoughts on the topic. It’s not crazy to have concerns about this issue, but the benefits may outweigh the risks.

The scale of Collection #1 is huge — by size alone, it’s one of the largest breaches in history, behind the massive Yahoo security failures. But it also contains roughly 140 million unique email accounts and 10 million unique passwords according to Hunt, with the passwords themselves in plaintext rather than circulating as uncracked cryptographic hashes.

This type of massive data breach is typically used in a credential stuffing attack rather than a targeted attempt to breach specific companies or individuals. Credential stuffing is exactly what it sounds like — pair up email addresses and passwords and attempt to use them to gain access to user accounts. Because people tend to re-use credentials across many sites and may not change passwords for months or years at a time, it can be surprisingly easy to gain access to accounts.

If you’ve been affected by this breach and your password has leaked, we strongly recommend changing it on all of the sites affected. A service like a password manager may also be an effective way to keep a strong set of passwords with stronger overall security than a mnemonic device or a shorter set of random numbers and letters.

Now Read:

Microsoft si allea con VirusTotal: pericolo file Java all'interno di archivi MSI

Author: IlSoftware.it

Acronimo di Microsoft Install il formato MSI è ancora oggi utilizzato come pacchetto per la distribuzione e l’installazione di molteplici software. Gli antimalware generalmente verificano la presenza di una firma digitale valida contenuta in qualsiasi eseguibile o archivio di installazione: la validità di tale firma già offre una serie di importanti rassicurazioni. Ogni modifica apportata a un file Windows PE (.exe) rende immediatamente non più valida la firma.

I file distribuiti in formato MSI non offrono uguali garanzie tant’è vero che è possibile applicare modifiche alla loro struttura senza che invalidare la firma acclusa (in passato abbiamo visto come alterare o rimuovere completamente alcuni controlli effettuati dai file MSI in fase di avvio dell’installazione; vedere, per esempio, l’articolo Eseguire una macchina virtuale VMware Windows 7 con Virtualbox che contiene alcune informazioni sul funzionamento del software Orca).

I tecnici di Microsoft, in collaborazione con quelli di VirusTotal, hanno scoperto che i criminali informatici hanno iniziato ad “appendere” file Java ad alcuni file d’installazione in formato MSI, di per sé del tutto legittimi.
L’obiettivo è evidente: l’utente è invitato ad avviare il file MSI ritenendo che si tratti di un software benigno e largamente conosciuto, l’antimalware non mostra alcun avviso rilevando la correttezza della firma digitale e la correttezza della firma è verificabile anche manualmente cliccando con il tasto destro, scegliendo Proprietà quindi facendo riferimento alla scheda Firme digitali.Eppure, se sul sistema in uso fosse installata una versione di Java il codice JAR malevolo verrebbe immediatamente caricato ed eseguito. Tra l’altro, essendo di fatto gli archivi JAR dei file Zip, il loro contenuto viene caricato dalla fine del file, quindi dal punto esatto un cui – come parassiti – i criminali informatici li hanno aggiunti al file MSI legittimo.
Una strategia che può fare veramente grossi danni se l’antimalware e l’utente non si accorgessero della trappola.

La buona notizia è che l’utilità Microsoft SigCheck è stata recentemente aggiornata per renderla in grado di rilevare il problema: basta digiare sigcheck -i seguito dal nome del file da controllare per effettuare una verifica. La presenza del messaggio “Signed but the filesize is invalid (the file is too large)” deve immediatamente destare sospetti sulla “bontà” del file MSI con cui si ha a che fare.

Non solo. Gli sviluppatori di VirusTotal hanno appena aggiornato il servizio servendosi proprio di SigCheck: verrà mostrato un messaggio d’allerta per tutti i file MSI contenenti JAR potenzialmente malevoli (ulteriori informazioni in questa nota ufficiale).

Ancora una volta, quindi, i suggerimenti pubblicati nell’articolo Verificare se un file è infetto prima di aprirlo restano assolutamente efficaci e attualissimi.

Google rende disponibile la ricerca delle applicazioni Linux su Chrome OS

Author: Le news di Hardware Upgrade

Chrome OS si avvia a diventare sempre più una piattaforma di distribuzione delle applicazioni progettate per Linux. Ciò è reso evidente dagli sforzi di Google di rendere tali applicazioni disponibili all’interno di Chrome OS: l’ultimo di questi è la possibilità di ricercare (e installare) le applicazioni per Linux direttamente dalla ricerca di Chrome OS.

Non si tratta ancora di una funzionalità disponibile a livello generale: per accedere alla ricerca di apt, che è il programma da riga di comando utilizzato per installare le applicazioni, è necessario abilitare la relativa opzione tra quelle sperimentali nelle impostazioni di Chrome OS.

Come ricorda OMG! Ubuntu!, al momento è necessario ricorrere alla riga di comando per installare le applicazioni per Linux su Chrome OS. L’accesso a queste tramite la semplice ricerca all’interno del menù di sistema potrebbe aprire le porte a una maggiore diffusione, vista la semplicità del processo.

Chrome OS, dunque, potrebbe utilizzare applicazioni più potenti di quelle attualmente a disposizione, a partire da nomi come GIMP e Thunderbird. Non è ancora noto quando Google renderà disponibile più generalmente la possibilità di installare applicazioni Linux; al momento si tratta di una beta alla quale gli utenti devono partecipare volontariamente.

The Division 2, alla scoperta del multiplayer nella nostra anteprima

Author: Yuri Polverino Tom's Hardware

Il nuovo capitolo del franchise Ubisoft arriverà il prossimo 15 marzo. Stiamo ovviamente parlando di The Division 2 che sarà sviluppato ancora una volta dai ragazzi di Massive. Qualche settimana fa siamo dunque volati in Svezia per visitare gli uffici della software house: oltre ad un breve tour della location dove il gioco è stato di fatto creato (trovate le foto in questo post sulla nostra pagina Instagram), abbiamo potuto provare una build dedicata interamente alla componente multiplayer.

Come The Division insegna, l’architettura di gioco è divisa in due macro categorie: PvE e PvP. Se la prima la analizzeremo in un altro momento, l’hands-on dedicato al PvP ci ha invece permesso di trarre già più di qualche conclusione. Come normale che sia, The Division 2 raccoglierà tutti gli errori e le mancanze del suo predecessore per tentare di migliorarsi ed evolversi nell’esperienza definitiva. In questo senso, la Dark Zone (così si chiama l’area dedicata al multiplayer), propone qualche cambiamento e diverse migliorie. Oltre al perfezionamento dei server e dell’infrastruttura online (ricostruita per garantire ai giocatori stabilità e sicurezza), Massive ha deciso d’integrare anche delle modalità classiche come Dominio e Schermaglia. Prima di addentrarci nei dettagli, però, vogliamo anticiparvi che nel complesso le nostra prova del titolo ci ha convinti: in attesa di scoprire la componente cooperativa, ecco quindi le nostre impressioni su PvP e Dark Zone.

Nella Zona Nera

Accedendo nella Dark Zone, The Division 2 vi catapulterà in una zona di guerra dove oltre ai vari nemici gestiti dall’IA, dovrete stare attenti anche ai gruppi di giocatori che cercheranno di uccidervi per rubarvi il loot accumulato nella vostre scorribande. Cerchiamo di fare chiarezza: nella Dark Zone lo scopo principale sarà quello di raccogliere ricompense ed equipaggiamento esclusivo della zona. Per farlo dovrete uccidere i nemici controllati dall’IA, raccogliere gli oggetti ed estrarli, ovvero chiamare un elicottero che li porti via per decontaminarli e renderli utilizzabili.

Come la lore del gioco c’insegna, la Zona Nera è infatti quella parte di città che non è ancora stata completamente resa immune dal virus che ha devastato gran parte della città. La mappa è divisa in zone, ognuna delle quali offre sfide sempre più impegnative (il livello dei nemici aumenta) oltre che design differente. La parte ad est è caratterizzata da spazi aperti e grandi costruzioni, quella a sud da un level design più claustrofobico e sviluppato all’interno di abitazioni ed edifici, mentre ad ovest troveremo la tipica architettura da capitale Europea. Vi ricordiamo che The Division 2 sarà ambientato a Washington e che l’ambientazione è uno dei focus sul quale il team di sviluppo si è concentrato.

Parlavamo di livello di sfida che aumenta in base al quartiere in cui ci troviamo, e di conseguenza anche le ricompense saranno più importanti. Una volta soddisfatti del loot, dovremo recarci in una zona d’estrazione per portarci effettivamente a casa il bottino. In questo frangente entrano in gioco gli altri Agenti controllati da giocatori reali. Il sistema è quello dei Rogue, letteralmente “ribelle”: premendo l’analogico destro si potrà sparare a giocatori di altri team, attivando quindi questa dinamica, che gode di regole tutte sue; vediamole insieme. Il grado Rogue è diviso in tre fasi, identificate da un colore ben preciso (grigio, rosso e giallo): ognuno di questi stabilirà quanto siamo stati attivi nel compiere azioni criminali, e determinerà anche le interazioni con il resto dei giocatori nel server. Raggiunto il livello massimo, la nostra posizione sulla mappa sarà sempre visibile e chi ci ucciderà riceverà una ricompensa piuttosto succulenta.

Perché quindi decidere di diventare Rogue? Semplicemente perché qualora decidessimo di intraprendere questa carriera criminale, e riuscissimo a portarla a termine (tra poco vediamo come), anche noi riceveremo loot di grande valore. Per completare le attività Rogue sarà necessario raggiungere il livello massimo e portare a termine degli incarichi che ci costringeranno a spostarci all’interno della mappa, diventando quindi bersagli facili. Per farlo, avremo un tempo limite, oltre il quale il nostro grado Rogue scenderà di un gradino.

Nel corso del nostro hands-on, siamo stati divisi in team da quattro giocatori per poi esser lasciati liberi di scorrazzare per la Dark Zone per esplorarne i contenuti: dopo una breve missione tutorial, abbiamo avuto libero accesso alle attività. L’impressione generale è che la formula funzioni, soprattutto quella più frenetica del Rogue. Se infatti le dinamiche “uccidi i nemici ed estrai il loot rimangono invariate rispetto a The Division 1”, tutto l’ecosistema che regola le missioni ribelli risulta molto divertente e stimolante. Incoraggiati dal team di sviluppo abbiamo per l’appunto intrapreso quasi subito la carriera del Rogue, e assieme ai nostri compagni di team abbiamo dato vita a situazioni decisamente appassionanti. La Dark Zone ha inoltre un suo sistema di crescita che, mano a mano che avanzerete di livello, vi darà accesso ad acquisti esclusivi disponibili presso i vari venditori. Per progredire velocemente e puntare a ricompense di un certo tipo, vi consigliamo quindi di fare squadra con dei vostri amici e puntare tutto su cooperazione di squadra e tattiche consolidate.

Costruite un equipaggiamento che si integri alla perfezione con quello dei vostri compagni, e provate approcci diversi in caso di difficoltà. L’anima RPG di The Division sarà importante in ogni attività che deciderete di svolgere, proprio come il capitolo d’esordio, anche questa seconda iterazione ibrida elementi da third person shooter a gioco di ruolo, senza dimenticare la parte online. Sulla falsa riga di Destiny e di Anthem, anche The Division 2 propone un mondo di gioco condiviso all’interno del quale bisognerà farsi strada svolgendo attività sempre più difficili e costruire così il personaggio più forte possibile. Ci sarà anche un sistema interno di gestione e creazione dei Clan, del quale però non possiamo dirvi nulla in quanto non l’abbiamo potuto provare.

Terminata l’esplorazione della Dark Zone, abbiamo provato le due modalità più classiche, ovvero Schermaglia e Dominio. Se nella prima lo scopo sarà quello di uccidere i giocatori dell’altra squadra, in Dominio invece si vincerà conquistando per più tempo delle determinate zone sulla mappa. In questo caso non ci sono grandi considerazioni da fare, in questo i game mode in questione sono mutuati da franchise storici o comunque ampiamente proposte in titoli dall’anima shooter. Interessante invece come il gameplay di The Division (in pratica lo stesso del primo capitolo) si sposa abbastanza bene al puro multiplayer competitivo. Le coperture, lo shooting ragionato e le varie specialità degli Agenti creano un quadro che intrattiene, diverte e stimola anche la competizione. Vedremo se queste modalità rappresenteranno una valida alternativa alle attività più canoniche, oppure si dimostreranno solamente un piacevole passatempo.

La prima prova del comparto multiplayer di The Division 2 ci ha senza dubbio soddisfatto: Massive ha saputo imparare del passato e riformulare una proposta di gameplay familiare ma perfezionata. Il sistema Rogue così come è stato ricreato è funzionale, divertente e soprattutto stimola la cooperazione. L’anima ludica di The Division rimane quindi “invariata”, nel senso che non viene stravolta ma al contrario arricchita di piccoli accorgimenti che potrebbero consegnare ai giocatori un prodotto al day one rifinito e che non necessiterà di grandi aggiustamenti in corso d’opera. Attenzione, Massive ha dichiarato che il supporto post-lancio sarà costante e ambizioso, ma un conto è parlare di supporto, un’altra cosa è invece parlare di revisioni di un certo tipo nel corso del ciclo vitale del titolo – così come fu per il primo The Division. Dopo questa prova ci sentiamo di rassicurare l’utenza che attende il titolo: The Division 2 ci ha dimostrato di avere tutte le carte in regola per ambiare ad un 2019 da protagonista.

Non vedete l’ora di tornare nella divisione ed esplorare Washington? Allora non perdete tempo a prenotare The Division 2!

Google Buys Part of Fossil’s Smartwatch Team for $40 Million

Author: Ryan Whitwam ExtremeTechExtremeTech

This site may earn affiliate commissions from the links on this page. Terms of use.

Google’s struggling Wear OS platform could be headed for some big changes with the news that the company has acquired wearable technology and employees from Fossil. The firms didn’t specify what exactly Google it getting from Fossil, but it did cost the Android maker a cool $ 40 million. Could we finally see some real improvements to Wear OS?

Fossil is being coy about the specific technology included in the deal but does say it’s something new that is not currently represented in wearables. Google became aware of this mysterious technology from its partnership with Fossil. Google decided it wanted the technology, and Google has plenty of cash sitting around.

Similar to the HTC deal, Google isn’t taking Fossil’s whole smartwatch division—it only wanted a piece of it. According to Fossil, it’s just the mysterious aforementioned technology and the engineers working on it. Fossil didn’t say how many workers were part of the deal, but it does have some 200 R&D personnel remaining. Although, it probably doesn’t have all those people on Wear OS projects.

Statements made after the initial announcement make it clear Fossil got the new wearable tech from its $ 260 million Misfit acquisition in 2015. Google allegedly wanted to make sure all its wearable partners got access to this new smartwatch feature as part of Wear OS. The deal could be finalized later this month, but no one was willing to speculate on when devices based on the unnamed technology would show up.

Fossil launched the Misfit Vapor after buying the company.

Google’s Wear OS (formerly known as Android Wear) has struggled to gain traction despite launching a year earlier than Apple’s wearable. Most consumer electronics firms like Asus and Huawei have stepped back from Wear OS, leaving lifestyle companies like Fossil to prop up the platform. LG has also continued making some watches, but its recent efforts have been met with little success.

There has been ample speculation over the years that Google would release its own Wear OS watch alongside the Pixel phones, but the company has refused to even discuss the possibility. This time, Google’s Wear OS VP Stacey Burr stresses that having the Fossil technology in-house is all about strengthening the platform as a whole for all its partners. Indeed, a Google watch might be enough to scare away most of the remaining Wear OS partners when there are already so few customers to go around. If Google ever does decide to make a Pixel watch, it could be in a better position to do so after this deal.

Now read: