Dario Santoro

Repubblica.it oggi si è posta in prima linea nel lanciare un allarme riguardo una vulnerabilità di Ebay. Questa vulnerabilità permette a un cracker di carpire i dati di una persona che partecipa ad un'asta studiata appositamente per frodare. Nello specifico si tratta di una vulnerabilità di tipo cross-site scripting (abbreviata con XSS: ne parla in maniera veramente efficace un articolo di Microsoft). Questo nome identifica una classe di vulnerabilità che può potenzialmente essere utilizzata su qualunque sito che permette l'esecuzione di script. Per i meno ferrati in materia: gli script sono dei mini programmi che possono essere creati da un utente e fatti girare -attenzione- all'interno di un browser. In altre parole, il sito che permette l'utilizzo di script non esegue nessun tipo di programma sui propri server, ma invia gli script (incapsulati in normali pagine web) al browser dell'internauta: il browser si occupa poi di interpretare questi script ed eseguirli sul pc dell'utente. Essendo gli script dei programmi, con essi è possibile potenzialmente fare tutto: benchè tipo di approccio sia molto potente, è anche molto pericoloso per l'utente, che potrebbe essere indotto ad eseguire inconsapevolmente dei programmi non desiderati sulla propria macchina. Per limitare questo tipo di rischio, il linguaggio di scripting è studiato in modo che lo script non possa accedere ai file del pc, ad eccezione dei file utili alla navigazione; inoltre il sito su cui gli script risiedono può limitare i privilegi degli stessi. E' come se uno script potesse agire solo ed esclusivamente sul proprio orticello: il sito su cui è ospitato è il padrone che decide quanto questo orticello può essere grande. Tutto ciò serve ad alzare delle barriere contro l'utilizzo di script potenzialmente pericolosi. Porrei inoltre l'attenzione su una sottigliezza non da poco: quando si parla di hack di un sito di norma si pensa ad un hacker (erroneamente: sarebbe meglio dire cracker) che sfrutta una vulnerabilità che gli consente di fare breccia sui server del sito-vittima in modo da sottrarre le informazioni desiderate. Questo significa che l'hacker deve:

- Trovare un modo per entrare nel server vulnerabile
- Entrare nel server
- Rubare i dati che gli interessano (o inserire sul server hackato dei programmi che gli recapitino periodicamente dati sensibili degli utenti come password, numero di carte di credito, etc etc)

Invece quando l'hack avviene tramite XSS la modalità è sostanzialmente diversa. L'hacker deve:

- trovare una vulnerabilità nel browser che gli consenta di eseguire script malevoli
- cercare un servizio web (come Ebay) che permetta all'utenza di creare pagine contenenti script
- attendere che gli script malevoli agiscano e raccogliere i dati sensibili di tutti gli utenti che visitano la pagina su cui lo script è caricato

Notate la differenza? Nel primo caso la responsabilità è del gestore del sito che lascia aperta una vulnerabilità sui suoi sistemi; nel secondo caso il sito non ha colpa alcuna, in quanto l'errore risiede nel browser, il quale consente agli script di eseguire codice malevolo. In realtà le cose sono un po' più complesse perchè come ho accennato in precedenza il sito su cui risiedono gli script può decidere quanto deve essere grosso l'orticello in cui possono vivere gli script (anche se in effetti esistono tecniche per scavalcare il recinto dell'orticello... è una continua guerra fra sviluppatori e cracker). Quindi cosa è successo ad Ebay? Semplicemente un cracker ha creato uno script che, caricato nella pagina dell'asta, spedisce l'internauta che tenta di fare un'offerta in una pagina identica a quella di Ebay (ma che ovviamente non è di Ebay): inserendo nome utente, password e magari anche il numero di carta di credito, l'ignaro utente sta consegnando a dei malintenzionati le chiavi del proprio conto corrente. Purtroppo non c'è nulla di nuovo in questo: è un copione visto già nel 2006. Come fare a proteggersi? Difficile a dirsi: se comprate molto su Ebay vi consiglio caldamente di utilizzare Paypal (che vi offre una garanzia in caso di frodi); prendete in considerazione l'idea di utilizzare la toolbar di Ebay o quella di Google, le quali vi dicono se le pagine che state visualizzando sono effettivamente quelle che dicono di essere (se utilizzate i filtri antiphishing di internet Explorer o Firefox non serve questa precauzione). Infine la soluzione drastica: disabilitate gli script sul vostro browser (per Firefox e per Explorer). Certo vi perderete tantissime funzionalità su molti siti (potreste non riuscire ad utilizzare alcuni, attenzione!), ma almeno dormirete tranquillamente la notte.

Ps: andando a vedere il video messo online da Repubblica, il giornalista mostra come un hacker abbia fatto a rubare il suo nome utente e la password da Ebay. Purtroppo non da consigli su come evitare lo stesso errore: sarei curioso di sapere se è possibile accorgersi della frode osservando l'indirizzo indicato nella barra di navigazione del browser (ho il sospetto di si). Nel corso del video inoltre il giornalista dice anche che nel corso della prova un altro utente è cascato nella trappola. Sembra di capire che quest'ultimo utente fosse di passaggio... salvo che poi le immagini mostrano anche la sua password: "thisisatest". Giusto per non smentirsi mai, siamo italiani....