Tips & Tricks di sicurezza informatica
Nessuno è perfetto, ergo: nessun sistema è sicuro!
Le vulnerabilità XSS (Cross-Site Scripting) sono spesso sottovalutate. Purtroppo - è un dato di fatto - la maggior parte dei siti web e dei software web-based in particolare sono esposti ad attacchi di questo tipo. Michael Daw ha recentemente pubblicato una mappa dei servizi web 2.0 vulnerabili ad attacchi XSS; tra le ultime segnalazioni reperibili sul web una falla su Adobe Reader scoperta da ricercatori italiani: Stefano Di Paola, Giorgio Fedon ed Elia Florio (trovate tutti i riferimenti su webnews.html.it in un articolo di Giacomo Dotta).
Un'ulteriore prova della gravità di queste falle la fornisce il celebre sito Zone-H.org che nella notte tra il 21 e 22 Dicembre ha subito un attacco di defacement che ha visto l'attaccante impegnato a sfruttare una vulnerabilità XSS al servizio Webmail di Hotmail.com per rubare i cookie della sessione e ottenere la password di uno degli operatori (un po' distratto) di Zone-H fino al defacement vero e proprio.
Per i dettagli vi rimando all'articolo pubblicato da Roberto Preatoni, fondatore di Zone-H, che spiega minuziosamente il processo di attacco.
Link: Analisi dell'incidente (da leggere e farne tesoro)
Davide, ti consiglio di rileggere bene l'articolo originale in inglese. In quello Preatoni dice che la loro colpa non e' sicuramente stata quella di utilizzare un CMS opensource, asserendo che se avessero utilizzato un CMS custom made esso sarebbe stato comunque vulnerabile.
Quindi l'esatto contrario di quello che dici tu. E alla luce di questo, onore al merito a Zone-H che ha fatto outing senza nascondere nulla, indice del fatto che l'incidente non gli abbia dato fastidio cone ti asserisci.
Credo tu sia forse troppo prevenuto, a tal punto da non riuscire a leggere l'articolo da loro pubblicato nella maniera corretta.
Leonardo non concordo con te.
- Proprio Preatoni dice che se avessero realizzato un CMS proprietario sarebbe comunque afflitto da vulnerabilità; dunque che sia free o proprietario il problema ci sarebbe sempre stato; perchè allora dare colpa ad un CMS free?
- A me invece sembra che gli abbia bruciato un pò il sedere e tale convinzione la leggo in queste parole: "Perchè non usate questo periodo per prendervi una vacanza VERA, lontano dalla tastiera e dai problemi legali a cui possono portare i defacement? Vita reale (e belle ragazze sono lì fuori che vi aspettano..)" come a dire ma perchè non vi fate un pò i cavolacci vostri invece di venirci a bucare?.
E' giustissimo il fatto che gli abbia dato fastidio ( in fondo ha fatto perdere leggermente credibilità all'azienda di consulenza che c'è alle spalle )..a nessuno piacerebbe essere bucati ed e stato corretto ad aver ammesso tale deficienza nel sistema.
Ma devo ammettere che il cracker/hacker/lamer ( chiamatelo come volete ) ha fuso social engineering ed exploiting.
Non sono d'accordo per niente con voi, difatti l'autore spiega chiaramente:
All CMSs contain bugs and even assuming you had enough time to code your own CMS (have you any idea how long it would take?) it would probably still be vulnerable
Sacre parole!
Oltretutto l'autore mi sembra rispettoso dell'attacker in quanto gli augura anche un felice Natale e spera che applichi le sue doti a fini legittimi.
Insomma i miei complimenti vanno tutti al Sig. Roberto Preatoni, bravo!
Concordo pienamente con te Davide.
Si, a quanto ho letto il deface è stato archiviato dal loro motore.
L'unica cosa che non mi è piaciuta di questa analisi è che in parte è stata data colpa al CMS, affermando indirettamente che il software open source fosse meno affidabile di uno proprietario; credo che in questa vicenda, la colpa fosse esclusivamente dell'operatore di zone-h; non a caso il fattore umano risulta essere la nota dolente in tutti i processi di security management
Blogosfere è il più grande network italiano di blog professionali d'informazione.
Qui puoi trovare le ultime news su cronaca, politica, economia, cultura, scienze, tecnologia, spettacoli, moda, sport, motori, viaggi e cucina prodotte in perfetto stile multimediale.
Blogosfere Srl socio unico
P. IVA 05221970964
Sede legale: Via Pordenone 8 20132 Milano
REA n. 1804860
Privacy
Condizioni di utilizzo
Copyright © 2005-2012 Blogosfere
Quest'opera è pubblicata
con licenza Creative Commons
Attribution - Non commercial - No derivates
Per informazioni pubblicitarie e progetti speciali su Blogosfere (media brand del gruppo Populis) contattare la concessionaria pubblicitaria del gruppo, Populis Engage
alle 16:25
Taty
cavolo, odio queste vulnerabilità non ho capito affatto come individuare un sito XSS qualcuno di voi ha 1 esempio o qualcosa che spieghi bene cosa succede e come funziona?Ho continuamente paura che qualcuno possa hackerarmi il profilo di msn e vorrei capire meglio come funziona qualcuno di voi lo sa spiegare?