Tripwire scova le brecce nei siti

Un nuovo tool open source permette di individuare l'eventuale compromissione di un sito Web basato su account-utente in maniera automatica. I primi test imbarazzano aziende importanti ma di allarmare gli utenti non se ne parla
Un nuovo tool open source permette di individuare l'eventuale compromissione di un sito Web basato su account-utente in maniera automatica. I primi test imbarazzano aziende importanti ma di allarmare gli utenti non se ne parla

Si chiama Tripwire , è il risultato del lavoro dei ricercatori della University of California, San Diego (UCSD) ed è in grado di scovare automaticamente le brecce nei siti Web in anticipo sul lavoro dei ricercatori . Il tool, il cui codice è stato rilasciato sotto licenza open source , ha già individuato casi di insicurezza potenzialmente molto gravi.

Tripwire è un “crawler di registrazioni” , spiegano i suoi creatori, vale a dire un software capace di registrare uno o più account su diversi siti Web usando e-mail univoche ma riciclando la stessa password. A intervalli regolari Tripwire controlla se qualcuno ha provato a usare la password per accedere a un account, segno evidente del fatto che il sito in oggetto ha subito un attacco e il database degli utenti è stato in qualche modo compromesso.

L’efficacia di Tripwire è già stata testata su più di 2.300 siti differenti , dicono i ricercatori statunitensi, e in 19 casi sono stati evidenziati accessi non autorizzati. Un sito in particolare vanta una base di 45 milioni di utenti , tutti evidentemente a rischio.

Gli esperti hanno contattato gli amministratori dei siti violati ma hanno deciso di non divulgare pubblicamente la loro identità: l’onere della comunicazione al pubblico è stato lasciato ai singoli responsabili – e in tutti i casi i responsabili hanno deciso di tenere la bocca chiusa coi propri utenti.

Tripwire è dotato anche di funzionalità aggiuntive come la capacità di identificare i siti che archiviano le password testuali in chiaro o con algoritmi di hashing vulnerabili, mentre per meglio illustrare i risultati del loro lavoro i ricercatori hanno pubblicato uno studio liberamente disponibile on-line .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

18 12 2017
Link copiato negli appunti