Utenti di Tiscali? Occhio alle Web-mail

Punto Informatico è venuto a conoscenza di una vulnerabilità presente nel sistema di Webmail del portale di Tiscali che mette a serio rischio la sicurezza e la privacy dei suoi utenti consentendo ad estranei l'accesso alla loro mailbox

La vulnerabilità scoperta da Punto Informatico nel sistema di Webmail di TiscaliNet può seriamente compromettere la privacy e la sicurezza degli utenti e-mail del noto portale di Tiscali.

Secondo quanto da noi accertato è possibile, con modeste conoscenze tecniche, ottenere l’indirizzo HTTP necessario per accedere alla casella di posta elettronica su Web di un utente TiscaliNet e, aggirando il controllo su nome utente e password, poter leggere, cancellare ed inviare mail come se si fosse i legittimi proprietari di quella mailbox.

Vedremo in seguito che questo è possibile soltanto nel caso in cui l’utente clicchi su di un URL contenuto all’interno di una e-mail e finché lo stesso utente rimanga loggato nella sua mailbox su Web.

Nei giorni scorsi, aiutati anche da Anna Bruno di Fullpress.it, il nostro staff tecnico ha provato le Webmail di una decina di fornitori di accesso ad Internet e, per quanto abbia potuto verificare, nessuno di questi sembra presentare la stessa vulnerabilità scoperta nel sistema di TiscaliNet.

Purtroppo ieri, pur avendo cercato fin dalla mattinata di metterci in contatto con qualche responsabile di Tiscali, non abbiamo ottenuto da loro nessuna risposta. Rimanendo quindi a disposizione per ogni chiarimento, andiamo ad esporre più in dettaglio il problema.

Le vulnerabilità

La debolezza insita nel sistema di Webmail di Tiscalinet è tutto sommato abbastanza banale. Il problema si pone nel momento in cui l’utente clicca, dall’interno di un’e-mail contenuta nella propria mailbox su Web, un link attivo verso un sito.

Cliccando su tale link l’utente di fatto svela, al server di destinazione, il suo indirizzo Web di provenienza, conosciuto anche dagli addetti ai lavori come “referrer”. Il referrer può essere ottenuto, dagli amministratori di quel sistema, in svariati e semplicissimi modi: basta stampare la variabile d’ambiente $HTTP_REFERER con una sola riga di un qualsiasi linguaggio di script, o utilizzare altri molteplici strumenti di statistica e monitoraggio degli accessi.

Ma fin qui tutto normale: l’indirizzo di provenienza viene fatto filtrare verso l’esterno da moltissimi altri sistemi di Webmail senza per questo mettere a repentaglio la sicurezza dei propri utenti.

Con TiscaliNet succede invece che se un malintenzionato prende l’indirizzo di provenienza di un ignaro utente che in quel dato momento ha cliccato sul suo server e lo mette dentro ad un browser, lo spione si ritroverà dritto dritto dentro la mailbox su Web di quell’utente senza che questo si accorga di nulla.

Per capire meglio come tutto questo possa avvenire abbiamo chiesto il parere di un esperto, Daniele Bochicchio, content manager di ASPItalia.com.

Il parere dell’esperto

“Un bug molto grave, non c’è che dire”, ha commentato Bochicchio. “Si può avere accesso alla posta di un utente collegato alla Webmail di TiscaliNet semplicemente ottenendo il suo indirizzo di referrer. Fino alla scadenza della sessione, è sufficiente inserire l’URL esatto et voilà: come per magia, si potrà accedere alla mailbox di un utente loggato sul Web in quel momento”.

Basterebbe ad esempio far circolare una mail o una newsletter che abbia come unico intento quello di far cliccare gli utenti su di un certo “indirizzo trappola” in cui vengano registrati tutti i referrer dei visitatori.

“E’ un bug grave – continua Bochicchio – soprattutto perché, sebbene possa in teoria essere sfruttato solo da chi dispone di un server Web e nel caso in cui l’utente acceda a quel server dalla sua mailbox, una volta scoperto (e non è detto che qualcuno non lo abbia fatto prima di voi) potrebbe davvero essere alla portata di un bel po’ di malintenzionati.”

A tal proposito, e visto che purtroppo non conosciamo i tempi di intervento di TiscaliNet, è bene che gli utenti del noto servizio di Webmail evitino di cliccare URL sconosciuti contenuti all’interno delle loro e-mail quando queste vengano lette su Web.

Da un’analisi delle e-mail inviate tramite la Webmail di TiscaliNet, Bochicchio ha potuto verificare che il prodotto utilizzato da Tiscali per la gestione del suo sistema di posta on-line è VisualMail 3.0. Da una veloce ricerca sul database di security-focus.com non sembrerebbe che questo software soffra di un bug noto simile a quello descritto qui.

Il nostro esperto ha poi fatto notare che il sistema di Webmail di Tiscalinet “si basa unicamente su di un cosiddetto ‘time stamp’, ovvero una codifica dell’ora corrente: dunque non c’è nessun controllo, neanche minimo, sulla correttezza della sessione e sull’identità della persona che accede al servizio. Sarebbe bastato usare – sempre a parere di Bochicchio – un semplice cookie per garantire ai propri utenti quella sicurezza che Tiscali, uno tra i maggiori ISP europei, non può certo mettere in secondo piano”.

Bochicchio conferma le indagini fatte dallo staff di Punto Informatico e sostiene che altri sistemi di posta Web, come ad esempio quello di SuperEva o di HotMail, “hanno sistemi che a prima vista sono più sicuri, in quanto non passano i dati sulla sessione con il metodo GET, evitando così vulnerabilità di questo tipo. Altri ancora effettuano un banale encoding della stringa contenuta nell’URL con una chiave privata o utilizzando un semplice shifting”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Italiani
    Popolo di creduloni..e fessi!(oppure troppo furbi!)
  • Anonimo scrive:
    FUNZIONA ANCORA!!
    Mercoledì 30 Giugno ore 18:30, il sito sembra ancora in piedi!!!!!!!!!
    • Anonimo scrive:
      Re: FUNZIONA ANCORA!!
      Prova a pulire la cache.....- Scritto da: Phoenix
      Mercoledì 30 Giugno ore 18:30, il sito
      sembra ancora in piedi!!!!!!!!!
    • pinko pallo scrive:
      Re: FUNZIONA ANCORA!!
      4 dicembre 2007 - il sito è sempre su! http://www.ricaricami.com/
  • Anonimo scrive:
    SVEGLIA
    per trovarlo basta guardare la miriade di accounts che si e' lasciato alle spalle il tipo ke ha organizzato tutto...basta guardare come ha fatto le pagine (copiate senza nemmeno degnarsi di levare i commenti dell'origine) per capire che non e' in grado di nascondere le tracce lasciatosi dietro...io chiederei agli amministratori di thecounter.com(l'username e' il numero nella pagina iniziale)l'ip del tipo che si e' registrato... e gli ip dei primi visitatori a quel sito (probabile e' il suo ip no? :))poi ci sono tutti i server su cui ha le pagine e su cui ha le mail (basta vedere i dati lasciati sui domini nel whois...)ci sarebbe anche www.blacklion.net che e' registrato ancora dal truffatore e dal whois black.lion@gte.net chiedere a gte.netinsomma svegliarsi... ma le nostre autorita' ne sanno di pc quasi come mia nonna quindi siamo apposto..saluti
  • Anonimo scrive:
    ... e comunque
    Non vorrei essere troppo diffidente..ma se ti rubano la carta di credito..si fa una denuncia cosi..come si fa una denuncia quando ti arriva la distinta mensile delle spese e leggi 50 dollari per la registrazione di un dominio e l'hosting in un server del canada.
  • Anonimo scrive:
    Grazie a voi
    Se non c'è un mezzo di diffusione delle notizie che ne parla e fa emergere lo scandalo ...tutto cade nell'indifferenza generale.Quello che spero adesso..è che in qualche modo si risalga al responsabile..
  • Anonimo scrive:
    NETFRATERNITY INVECE CHIUDERA' TRA BREVE
    NetFraternity ci ha fatto la gradita sorpresa.Ho l'impressione che si stia avviando all'autodistruzione.Peccato.
    • Anonimo scrive:
      Re: NETFRATERNITY INVECE CHIUDERA' TRA BREVE
      era ora... no a parte gli scherzi perche' chiude ? Sky
      • Anonimo scrive:
        Re: NETFRATERNITY INVECE - LUNGO -
        - Scritto da: Sky


        era ora... no a parte gli scherzi perche'
        chiude ? SkyNon poteva continuare a mandare la mail -violazione art.17- a tutti! Una sana ventata di novità:ecco il testo della nuova mail (notare la faccia a c***o):"Gentile Utente,già da qualche mese, la quasi totalità dei nostri Inserzionisti pubblicitariaveva iniziato a criticare con forza il nostro iniziale modello di business,basato sul presupposto di pagare con denaro cash un Utente, allo scopo digarantire la Sua attenzione verso un messaggio pubblicitario inviatogli nelcomputer.La critica, per i motivi che spiegheremo di seguito, è di recente sfociatain uno "stop" non più negoziabile.Di contro, l'altro modello di pagamento offerto da NetFraternity,cronologicamente più recente e cresciuto in parallelo, basato su crediti daconvertire in acquisti on-line o nell'uso di una linea telefonica di numeroverde, ha invece via via generato un crescente favore da parte dei nostriSponsor.Il motivo è il seguente:Ci veniva da tempo contestato che, offrendo del denaro cash, si potevacorrere il rischio di snaturare il presupposto fondamentale di un messaggiopubblicitario.Un messaggio, infatti, viene per definizione commissionato allo scopo digenerare un'attenzione che potremo definire impropriamente gratuita, daparte dell'utente; un'attenzione finalizzata alla vendita del prodottopubblicizzato.Da alcuni mesi il tutto è degenerato.Il proliferare di sistemi di advertising a pagamento ha di fatto creato unanuova e pericolosissima categoria di Utenti internettiani.Una categoria prontamente rilevata e dalla quale gli stessi Sponsor hannosubito preso le distanze: ossia Utenti che navigano con questo tipo diservizio per un unico scopo, guadagnare e basta.Il problema è che questo genere di Utenti non solo non è interessato allapubblicità, ma, cosa ancor peggiore, sono Utenti che non compreranno mainulla.Una ulteriore rovina è stata inoltre la divulgazione attraverso centinaia disiti e newsgroups specializzati della nuova moda del guadagno facile.Una volta che tali informazioni sono arrivate agli investitori pubblicitari,questi hanno perso totalmente la fiducia sull'efficacia di questo sistemapubblicitario.D'altro canto, come criticarli?Su alcuni di questi siti i temi trattati farebbero rizzare i capelli aqualunque soggetto operi in pubblicità. Si va dal suggerimento sull'ultimotipo di cheat (sistemi per evitare di vedere la pubblicità, conservando ilpagamento), alla pianificazione scientifica di catene di sant'Antonio, dallapianificazione del guadagno come se fosse un lavoro con tanto di salario(tariffe, tempi, diritti), ad Utenti che dichiarano di navigare con seibarre aperte.Cosa ha da spartire tutta questa sporcizia con la pubblicità? Vedere lapubblicità può essere un lavoro?Secondo voi esiste qualche Inserzionista così pazzo da pagare per unaprestazione pubblicitaria quando si scopre che dietro a tutto questo cipotrebbe essere una serie di persone che stanno semplicemente lavorando?Ci vediamo quindi giocoforza costretti a passare ad un servizio modellatosulle esigenze delle Aziende che investono in pubblicità.Un servizio di totale garanzia per gli Sponsor che investono inNetFraternity.Manterremo certamente incentivi per la navigazione, ma con il presuppostoche l'Utente si avvicini a noi con una base minima di garanzie: porreattenzione ai i prodotti che gli scorrono con la pubblicità e sopratuttodimostrare di gradire la pubblicità e gli incentivi proposti.Non certo farne un lavoro!NetFraternity è distante anni luce da questa stortura ed è nata avendo comeunico scopo per gli Utenti di rendere più leggera la bolletta del telefono!Non ci è dato sapere se il numero di navigatori interessati solo al guadagnosia elevato o meno.Il problema è che l'impossibilità di determinare l'entità del problema hacomunque obbligato tutti gli interessati ad usare il criterio di "un'erba unfascio".Il mercato della pubblicità non è più disposto di rischiare di pagare avuoto per inviare spot con la probabilità che non vengano visti.Il mercato chiede che un Utente dimostri, anche se solo con dei piccolicenni, di poter acquistare on-line; magari passando inizialmente per unprodotto gratuito, ma che perlomeno dimostri la buona volontà diintraprendere una procedura di spedizione, etc.Pur mantenendo la simpatia per tutti i nostri iscritti, NetFraternity nonpuò che allinearsi, anche se nuovi criteri comporteranno da partedell'Azienda maggiori aggravi economici.Lo si ricava facilmente dalla comparazione tra la cifra di denaro pagata incash da NetFraternity e quella per i crediti elettronici da convertire inbeni merce od in scatti telefoni del numero verde.Gli Utenti interessati al denaro cash potranno comunque avere conNetFraternity una nuova opzione. Da qualche mese infatti sono nate nuoveesigenze merceologiche di natura statistica.La richiesta di compilazioni di giudizi o di form di iscrizione a svariatitipi di servizi on-line, ci viene sottoposta quotidianamente.Riteniamo ragionevolmente di poter pagare in denaro cash questo tipo diprestazione, dato che usciamo dalla prestazione pubblicitaria ed entriamonella materia del sondaggio, un campo che presenta esigenze completamentedifferenti rispetto alla pubblicità e quindi non ci espone ai problemi sopracitati.La form comparirà in forma escludibile e quindi non ci sarà per l'Utentenessun obbligo di compilazione se non risulterà gradita.Inoltre, la compilazione inviataci non potrà essere soggetta ad alcuna formadi frode da parte dell'Utente (come invece abbiamo purtroppo rilevato inquesti mesi per il nostro sistema pubblicitario) e quindi ci darà latranquillità di non dover applicare nessun sistema anti abuso.Lavoreremo tutti più sereni continuando a poter erogare denaro cash.L'importo varierà in relazione ai contratti che stipuleremo con i nostriClienti e riteniamo potrà partire da 0,5 euro in su per ciascunacompilazione.Nella nuova barra, che verrà editata tra pochi giorni, sarà previstal'opzione di poter avere un borsellino cash per l'accumulo di denaroproveniente da iniziative basate su questi nuovi servizi.Varierà inoltre l'ammontare del credito per la riscossione del cash chepassa da 75 euro a 25 euro.Facendo un rapido calcolo è probabile che questo nuovo servizio alla finerisulti migliore rispetto al precedente sistema.Infatti, guadagnando NetCoin con la pubblicità e denaro cash con i sondaggi,si potrà risparmiare sulla bolletta agendo su due fronti diversi.Per quanto invece attiene alla pubblicità, l'Utente percepirà 1 euro increditi elettronici da convertire solo per acquisti on-line o per l'uso delnumero verde, per un massimo di due ore al giorno.I crediti accumulati dagli
        • Anonimo scrive:
          Re: NETFRATERNITY INVECE - LUNGO -
          - Scritto da: Me
          - Scritto da: Sky

          era ora... no a parte gli scherzi perche'

          chiude ? Sky
          Non poteva continuare a mandare la mail
          -violazione art.17- a tutti! Una sana
          ventata di novità:
          ecco il testo della nuova mail (notare la
          faccia a c***o):L'ho letta e devo dire che se anche si tira unpo' su nel finale, la faccia ce l'ha proprio comehai notato tu...
          "[...] Il proliferare di sistemi di advertising
          a pagamento ha di fatto creato una nuova e
          pericolosissima categoria di Utenti
          internettiani.

          Una categoria prontamente rilevata e dalla
          quale gli stessi Sponsor hanno subito preso le
          distanze: ossia Utenti che navigano con questo
          tipo di servizio per un unico scopo, guadagnare
          basta.Questo basta per chiedersi: ma secondo voi, lagente che si frullava le palle per avere una barrapubblicitaria sul desktop per cosa lo faceva?Beneficenza? Mah...
    • Anonimo scrive:
      Re: NETFRATERNITY INVECE CHIUDERA' TRA BREVE
      - Scritto da: wazz
      NetFraternity ci ha fatto la gradita
      sorpresa.
      Ho l'impressione che si stia avviando
      all'autodistruzione.
      Peccato.Peccato? era ora!
Chiudi i commenti