Così scoprimmo il buco di Google

Lo racconta l'Università di Genova, che riferisce alcuni dettagli della vulnerabilità individuata recentemente su Google Apps da alcuni ricercatori italiani
Lo racconta l'Università di Genova, che riferisce alcuni dettagli della vulnerabilità individuata recentemente su Google Apps da alcuni ricercatori italiani

È stato un progetto di verifica della sicurezza dei protocolli basato su strumenti di intelligenza artificiale creato da loro stessi a portare gli scienziati italiani del DIST , Dipartimento informatico dell’Università di Genova, ad individuare di recente una falla nel sistema di autenticazione single sign-on di Google. Un buco ora tappato dal colosso del search.

il ricercatore italiano In particolare, la vulnerabilità riguardava i servizi erogati alle aziende tramite le applicazioni business. “Se i dettagli della vulnerabilità fossero caduti in mano a malintenzionati – sottolinea una nota dell’ateneo – le conseguenze avrebbero potuto essere pesanti”, visto soprattutto il calibro dei clienti che utilizzano la piattaforma Google. Quindi, come da prassi, i bug hunter italiani hanno comunicato il problema a CERT e a Google, che ha realizzato una nuova versione del protocollo.

Grazie alle tecniche di intelligenza artificiale – ha spiegato il vicedirettore del DIST Alessandro Armando (nella foto qui sopra) – è stato possibile studiare come si poteva comportare il protocollo “in presenza di un agente ostile”: simulando le reazioni del sistema, si sono ottenute delle risposte. “Il numero dei comportamenti che è stato necessario analizzare per trovare la vulnerabilità – ha spiegato il ricercatore – è composto da più di 300 cifre”. Secondo Armando “la verifica del corretto funzionamento degli apparati a elevata complessità è una delle nuove frontiere dell’intelligenza artificiale”.

A questo indirizzo è disponibile la lettera con cui Google ha avvertito i clienti di Google Apps, una missiva dei primi di agosto in cui viene spiegato nei dettagli come comportarsi e cosa modificare delle proprie applicazioni per bypassare il problema.

Oltre ad Armando, hanno lavorato al sistema che ha consentito l’individuazione del bug anche studenti e ricercatori del progetto AVANTSSAR dell’Unione Europea, un progetto che i lettori di Punto Informatico già conoscono e che riguarda appunto la sicurezza delle reti.

Link copiato negli appunti

Ti potrebbe interessare

08 09 2008
Link copiato negli appunti