Google tappa uno spiffero di Gmail

Una vulnerabilità del noto servizio di webmail poteva consentire ad un malintenzionato di sbirciare il contenuto di e-mail scritte da altri utenti. La falla è già stata sistemata


Roma – A metà settimana Google ha corretto un insidioso bachetto che si celava nel proprio servizio di posta elettronica Gmail. Scoperto quasi per caso da due programmatori Unix della community HBX Networks, la vulnerabilità poteva consentire ad un utente del servizio di accedere, seppure in modo non arbitrario, alle informazioni di altri utenti.

Durante il test di un nuovo script in Perl per la gestione di una mailing-list, i due sviluppatori si sono accorti che, inviando una e-mail con un indirizzo non correttamente formattato, il server di posta di Gmail aggiungeva al messaggio porzioni di e-mail scritte da altri utenti. Sebbene l’utente non avesse alcun controllo sul modo di operare del server, e fosse dunque incapace di selezionare la fonte delle informazioni a cui accedere, la vulnerabilità poteva essere utilizzata per raccogliere – con pazienza e tanta fortuna – password e altri dati personali.

In questa pagina i programmatori di HBX spiegano che la vulnerabilità del server di Google era innescata dall’omissione, nel campo “From:” di una e-mail, del carattere “>” che delimita l’indirizzo. Di conseguenza, il server introduceva nel campo “Reply-To” porzioni di codice HTML appartenenti all’ultima e-mail processata dal server: queste potevano contenere informazioni del tutto innocue (seppur private), o dati particolarmente sensibili. E’ opportuno ricordare, a tal proposito, come la legge tuteli il contenuto delle e-mail proprio come quello della posta tradizionale.

Google afferma di aver corretto il bug nella giornata di mercoledì, a meno di 24 ore di distanza dalla prima segnalazione. Dato che il problema si trovava sul server, il noto portale ha sottolineato come il fix funzioni già per tutti gli utenti di Gmail.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Tratto da: "Manifesto dell'Hacker"
    Ora e' questo il nostro mondo... il mondo dell'elettrone e dello switch, la bellezza del baud. Noi facciamo uso di un servizio gia esistente che non costerebbe nulla se non fosse controllato da approfittatori ingordi, e voi ci chiamate criminali. Noi esploriamo... e ci chiamate criminali. Noi cerchiamo conoscenza... e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita', credi religiosi e ci chiamate criminali. Voi costruite bombe atomiche, finanziate guerre, uccidete, ingannate e mentite e cercate di farci credere che lo fate per il nostro bene, e poi siamo noi i criminali.Si, io sono un criminale. Il mio crimine e' la mia curiosita'. Il mio crimine e' quello che i giurati pensano e sanno non quello che guardano. Il mio crimine e' quello di scovare qualche vostro segreto, qualcosa che non vi fara' mai dimenticare il mio nome. Io sono un hacker e questo e' il mio manifesto. Potete anche fermare me, ma non potete fermarci tutti... dopo tutto, siamo tutti uguali.Senza dubbio questo Hacker, Nicholas, è un criminale, ma sottoponetevi ad un'esame di coscenza: Non ci sono criminali molto più pericolosi ed attivi in giro? E se li beccano, la giustizia italiana li rimette in circolo dopo al massimo un anno..perchè Nicholas dovrebbe scontarli tutti e 5??
  • Anonimo scrive:
    Re: Se io dovessi mantenere riservate de
    bè... molte grazie!è proprio ganzo fare il crittogtafo.. ;-)
  • Anonimo scrive:
    Re: Se io dovessi mantenere riservate de

    (quasi) univocamenteROTFL :D :D
  • Anonimo scrive:
    Re: il cracker era uno dei blackmarket
    - Scritto da: Alex¸tg
    Mah, tempo fa, bufala o no, salto` fuori che
    avevano perso una testata nucleare per via
    di un bug di MS SQL server, col quale
    candidamente gestivano quegli
    archivi. Se e` depistaggio gli e` riuscito
    benissimo, l'impressione infatti e` che quei
    fantomatici geekyssimi sistemi operativi che
    fanno in quattro e quattr'otto qualsiasi
    cosa esistano solo nei films.Si, mi ricordo quella storia. Il software era usato dal DOD americano e gentilmente lo avevano fornito ai Russi. Questi in una fase di verifica cartacea delle loro testate nucleari, riscontrarono delle differenze e subito si diede risalto al fatto che usassero MSSQL. In realtà non era un baco di MSSQL ma semplicemente i russi lavoravano su una versione più vecchia di SQL Server (6.5 contro la 7).M.
  • Anonimo scrive:
    Re: Se io dovessi mantenere riservate de
    - Scritto da: Anonimo


    ...informazioni, in primo luogo non

    conserverei l'accoppiata nome utente e

    password da nessuna parte sul server:
    una

    buona hash al posto della password,
    intendo.Cioe`: in partenza, al momento in cui un tizio digita nome e utente e password per registrarli in un database, entrambe le cose sono delle stringhe di testo. Se vengono salvate cosi` come sono, rimangono visibili nel file che fa parte del database che le conserva, cosi` come un testo rimane visibile in un file di testo che uno crea col, che so... col blocco note. Anche se le due stringhe venissero codificate in qualche forma binaria, magari con un algoritmo di compressione, questo le renderebbe a prima vista irriconoscibili, ma usando un decompressore adatto le si potrebbe comunque ricostruire.L'hashing, invece, e` un processo per cui da una stringa di testo si estrae un numero, in genere molto grande, che identifica quella stringa (quasi) univocamente, anche se mai del tutto, perche` essendo l'hashing un processo che "perde informazioni" durante la traduzione della stringa in un numero, e` in teoria possibile che due stringhe diverse generino la stessa hash, lo stesso numero. Ma e` molto raro e servirebbe molto tempo per "forzare" un sistema del genere, per trovare una combinazione di lettere, cioe` una stringa, che corrisponda alla hash di un'altra stringa sconosciuta (la password), a forza di tentativi.Io scrivo, cioe`, metti caso:nome utente: Alexpassword: alakazamil browser spedisce queste informazioni, originariamente in chiaro, al server, ma poi il server registra solo il nome utente come "Alex". Per la password, tratta la stringa trasformandola che so, nella hash: 1C67B09964DDF971 (questa sarebbe di 64 bit, o 16 cifre decimali). La parola "alakazam" e` insomma una specie di ricetta che, trattata matematicamente con un dato algoritmo, produce come risultato quel grosso numero. Pero`, dal suo prodotto, il numero, non e` possibile ricostruire la stringa originaria, perche` i dati inclusi nel numero non sono sufficienti per farlo, quindi anche chi entrasse in possesso del numero, non potrebbe conoscere la mia password e non potrebbe usarla per accedere, con la mia identita`, al sistema.D'altra parte, se il sistema codificasse con un procedimento crittografico i dati che rappresentano la mia posta, non ci sarebbe modo di accedere a quei dati senza usare il mio account applicato all'infrastruttura software che li ha codificati, cioe` senza conoscere la mia password. E conoscerla sarebbe impossibile a meno di procedere per tentativi.Non dico che poi sarebbe impossibile aggirare questi accorgimenti, ma di certo sarebbe molto piu` difficile.
  • Anonimo scrive:
    Re: Se io dovessi mantenere riservate delle

    ...informazioni, in primo luogo non
    conserverei l'accoppiata nome utente e
    password da nessuna parte sul server: una
    buona hash al posto della password, intendo.
    E poi critterei i dati accessibili per ogni
    account con una chiave crittografica
    anch'essa legata alla hash di, diciamo,
    un'altra password che solo l'utente
    conoscerebbe.ehm... scusa la mia ignoranza... ma potresti tradurre?no, perchè mi interesserebbe informarmi sulla sicurezza, ma ci capisco davvero il giustograzie
  • Anonimo scrive:
    Re: il cracker era uno dei blackmarket
    Mah, tempo fa, bufala o no, salto` fuori che avevano perso una testata nucleare per via di un bug di MS SQL server, col quale candidamente gestivano quegli archivi. Se e` depistaggio gli e` riuscito benissimo, l'impressione infatti e` che quei fantomatici geekyssimi sistemi operativi che fanno in quattro e quattr'otto qualsiasi cosa esistano solo nei films.Vedi "S.Y.N.A.P.S.E", per altri versi credibile, quando quel tizio copia su 2 CD il codice sorgente del sistema: 4-5 secondi e via, il CD e` pronto. Ma dove l'ha trovato il fantomatico masterizzatore da 4-5 secondi, uno si chiede?Zac, zac, mai un crash nei film eh? :DComunque, ribadisco come tante altre volte: loro saranno criminali, ma dall'altra parte son coglioni .
  • Sandro kensan scrive:
    Re: imparare ad usare GPG sempre!
    - Scritto da: Anonimo
    peccato che se usi outlook express nessuno
    ti aiuta ... magari tutti a dire "usare
    gpg/pgp!!!" però poi se non usiCiao, non ho ancora letto il post cui ti riferisci quindi potrei ripetere (che comunque giova :).Su windows, mac os x o linux installi Thunderbird ha un sistema molto simile ad OE anzi migliore, poi scarichi e installi con pochi click GnuPG e poi c'è il plug-in per GnuPG da caricare in Thunderbird.Non ho i link ma cerca con google Thunderbird, Gnupg, e cerca la extension sul sito gnupg che è anche in italiano se non ricordo male.
  • Anonimo scrive:
    Re: cracker o hacker

    E un hacker che si è comportato da
    cracker. E' entrambe le cose.No e' un cracker ma in inglese ormai dicono tutti hacker
  • Anonimo scrive:
    Re: cracker o hacker
    - Scritto da: Anonimo
    qui dicono hacker
    www.securityfocus.com/news/10271

    la notizia dice cracker, quindi...E un hacker che si è comportato da cracker. E' entrambe le cose.
  • Anonimo scrive:
    Re: imparare ad usare GPG sempre!

    peccato che se usi outlook express nessuno
    ti aiuta ... c'é un pulg-in
  • Anonimo scrive:
    Se io dovessi mantenere riservate delle
    ...informazioni, in primo luogo non conserverei l'accoppiata nome utente e password da nessuna parte sul server: una buona hash al posto della password, intendo. E poi critterei i dati accessibili per ogni account con una chiave crittografica anch'essa legata alla hash di, diciamo, un'altra password che solo l'utente conoscerebbe. Se anche uno potesse accedere ai dati registrati sul server, dovrebbe fare diversi tentativi (brute forcing) per arrivare a qualcosa di concreto, e questo per ogni account.Ma d'altronde, io non sentirei il bisogno, da amministratore di simili reti di server, di ficcare il naso negli affari altrui, e indirettamente di garantire questa possibilita` a chi trovasse un bug che lo lascia passare, o a qualche altro amministratore della stessa rete.Poi, loro facciano quel che gli pare, ma e` una mia impressione o non mi sembra si siano sforzati molto di tutelare la privacy dei propri utenti?
  • Anonimo scrive:
    Re: cracker o hacker
    Quindi sarà un biscotto
  • Anonimo scrive:
    cracker o hacker
    qui dicono hackerhttp://www.securityfocus.com/news/10271la notizia dice cracker, quindi...
  • Anonimo scrive:
    il cracker era uno dei blackmarket
    Questa gente comunque è criminale ci sta poco da dire...clonavano carte di credito su traccia passaporti europeisocial security number e chisa cosaltro.secondo me l'account dell'agente FBI serviva come copertura di depistaggio o roba del genere.mi rifiuto di credere che murder e skully xfiles utilizzinodei banali canali di comunicazione come noi poveri mortali.:)
  • Anonimo scrive:
    imparare ad usare GPG sempre!
    peccato che se usi outlook express nessuno ti aiuta ... magari tutti a dire "usare gpg/pgp!!!" però poi se non usi linuxeria varia nessuno ti caga, e pgp/gpg resta per pochi, ovvero chi ha pgp commerciale che si integra con i programmi di posta, oppure chi usa linuxeria ...e quindi la maggior parte del mondo non viene cagata da chi dice "tutti dovrebbero usarlo!!"e continuiamo così allora, ognuno guarda quello che gli pare, tutti si lamentano , nessuno aiuta.
  • Ics-pi scrive:
    Figo, mica come gino71
    ;) (troll)
Chiudi i commenti