Tripwire scova le brecce nei siti

Un nuovo tool open source permette di individuare l'eventuale compromissione di un sito Web basato su account-utente in maniera automatica. I primi test imbarazzano aziende importanti ma di allarmare gli utenti non se ne parla

Roma – Si chiama Tripwire , è il risultato del lavoro dei ricercatori della University of California, San Diego (UCSD) ed è in grado di scovare automaticamente le brecce nei siti Web in anticipo sul lavoro dei ricercatori . Il tool, il cui codice è stato rilasciato sotto licenza open source , ha già individuato casi di insicurezza potenzialmente molto gravi.

Tripwire è un “crawler di registrazioni” , spiegano i suoi creatori, vale a dire un software capace di registrare uno o più account su diversi siti Web usando e-mail univoche ma riciclando la stessa password. A intervalli regolari Tripwire controlla se qualcuno ha provato a usare la password per accedere a un account, segno evidente del fatto che il sito in oggetto ha subito un attacco e il database degli utenti è stato in qualche modo compromesso.

L’efficacia di Tripwire è già stata testata su più di 2.300 siti differenti , dicono i ricercatori statunitensi, e in 19 casi sono stati evidenziati accessi non autorizzati. Un sito in particolare vanta una base di 45 milioni di utenti , tutti evidentemente a rischio.

Gli esperti hanno contattato gli amministratori dei siti violati ma hanno deciso di non divulgare pubblicamente la loro identità: l’onere della comunicazione al pubblico è stato lasciato ai singoli responsabili – e in tutti i casi i responsabili hanno deciso di tenere la bocca chiusa coi propri utenti.

Tripwire è dotato anche di funzionalità aggiuntive come la capacità di identificare i siti che archiviano le password testuali in chiaro o con algoritmi di hashing vulnerabili, mentre per meglio illustrare i risultati del loro lavoro i ricercatori hanno pubblicato uno studio liberamente disponibile on-line .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti