Tiscali spara e uccide il baco della Webmail

Il provider sardo ha annunciato l'attivazione del nuovo sistema di Webmail che, a quanto pare, non soffre più del baco di cui Punto Informatico ha dato notizia mercoledì scorso. Insomma, tutto è bene quel che finisce benino
Il provider sardo ha annunciato l'attivazione del nuovo sistema di Webmail che, a quanto pare, non soffre più del baco di cui Punto Informatico ha dato notizia mercoledì scorso. Insomma, tutto è bene quel che finisce benino


Roma – Mercoledì scorso Punto Informatico riportava la notizia riguardante un serio bug presente nel sistema Webmail di Tiscalinet, una vulnerabilità che poteva compromettere la sicurezza di molti utenti del noto portale di Tiscali.

Con una e-mail, lo stesso mercoledì sera il provider sardo ha comunicato a tutti i suoi utenti di aver attivato un nuovo sistema di Webmail, una versione rinnovata di NetMail. Ecco il testo della lettera.

“Gentile abbonato,
Tiscalinet è lieta di comunicarti l’attivazione del nuovo sistema di NetMail,
che ti offre strumenti più efficienti per l’utilizzo della tua posta elettronica. Le nuove funzionalità ti permetteranno di gestire la NetMail come un normale client di posta. Ecco alcune delle importanti novità:

* gestione e archiviazione della posta in cartelle
* possibilità di inserire risposte automatiche
* filtri sulla posta in arrivo
* ricerca dei messaggi
* correttore ortografico
* elevato grado di sicurezza per garantire al meglio la tutela della
tua privacy sulla rete.

Se già utilizzi NetMail, con la nuova versione avrai perciò più servizi e
maggior sicurezza. E se ancora non hai utilizzato il nostro servizio… provalo!”

Sebbene nella sua lettera non ne faccia riferimento diretto, Tiscali ci ha confermato che con il nuovo sistema di Webmail la falla di sicurezza portata alla luce da Punto Informatico è stata risolta ed ora non è più possibile penetrare nella mailbox di un utente attraverso il suo referrer.

Per un probabile incidente di percorso, martedì la redazione di Punto Informatico non ha purtroppo ricevuto la pronta risposta alle nostre domande da parte dei responsabili alle pubbliche relazioni di Tiscali: nella lettera, di cui abbiamo preso visione soltanto il giorno successivo, essi ci comunicavano la conoscenza del problema da parte di Tiscali e la pronta correzione del bug con l’imminente nuova versione di Netmail.


Nella giornata di ieri Punto Informatico ha posto alcune domande a Gianbattista Giannoccaro, Direttore della Divisione Consumer di Tiscali SPA, per chiarire tutti gli aspetti dell’accaduto.

Punto Informatico : Quando siete venuti a conoscenza del problema?
G. Giannoccaro : Abbiamo individuato per la prima volta il problema lunedì 28 Maggio. Fortunatamente, essendo la qualità per noi un aspetto prioritario, già da tempo stavamo lavorando allo sviluppo di un nuovo sistema basato sulle più avanzate soluzioni tecnologiche. Ogni giorno si trovano nuovi modi per violare i software Internet (e non solo) ma anche nuove tecnologie per difendersi da queste violazioni e la nostra priorità è adottarle immediatamente. L’aver individuato questo baco ci ha portato ad accelerare la messa online del nuovi sistema di qualche giorno e in poco più di 24 ore il problema è stato risolto.

PI :Eravate a conoscenza che chiunque avesse scoperto il baco e fosse in possesso di un Web server (ce n’è uno su ogni Windows 2000 e su ogni Linux) poteva raccogliere gli indirizzi delle mailbox dei vostri utenti semplicemente inviando loro una mail o una newsletter “trappola” e catturando il referrer?
G.G. : Ovviamente l’abbiamo capito solo dopo aver individuato il baco ma a quel punto abbiamo anche verificato che il nuovo software oggi online risolveva completamente questa problematica.

PI : Quando è stato attivato il nuovo sistema di Webmail?
G.G. : Alle 18:30 in punto di ieri (30 Maggio), dopo ben 2 mesi di lavoro preparatorio. Il nuovo sistema fa parte della suite di posta elettronica che abbiamo acquistato da CriticalPath (in precedenza col nome di ISOCOR, società famosa in tutto il mondo per la qualità dei suoi prodotti nel campo della messaggistica su Internet).
I 2 mesi sono stati necessari per la personalizzazione dell’interfaccia utente in stile Tiscali, e per la pianificazione della migrazione dalla vecchia Netmail (copia delle rubriche).
Oltre a risolvere il problema di sicurezza individuato e a garantire la prevenzione di altre problematiche simili, il nuovo sistema offre ai nostri utenti un servizio migliore, con maggiori funzionalità.

PI : Come è stato risolto il problema?
G.G. : Più che risolto direi che è stato eliminato alla radice, sostituendo il prodotto vulnerabile (Visualmail) con la nuova Webmail di CriticalPath.
Questo nuovo prodotto gestisce la sicurezza della sessione in modo differente, utilizzando algoritmi come lo SHA-1 per marcare ogni scambio di informazioni e vincolarlo al browser che ha aperto la sessione, pertanto non è vulnerabile all’attacco sul Http_Referer da voi descritto. Abbiamo testato il sistema e il risultato è che è affidabile.

Link copiato negli appunti

Ti potrebbe interessare

31 05 2001
Link copiato negli appunti