martedì 28 giugno 2005

Il bug di Passport

Meglio di me, spiega un post di chi ha evidenziato questo bug, Salvatore Arzulla. La voce, a dire la verità girava da un po', ma Salvatore mi ha dato gli indizi per andare a cercare il modo di vedere il bug. E che bug. Non ho assistito ad una sua esibizione del bug, lo dico prima, non si sa mai.
La sicurezza non è un optional. Lo so che non ne potete più dei miei soliti consigli e “scoperte” ma dovete sopportare pure questa.
Come ben sapete, Microsoft ha creato il servizio Passport. Tale servizio è nato - almeno nell’idea originale - per far si che gli internauti si iscrivessero e potessero usare gli stessi dati (username e password) su una molteplicità di siti.
Se avete la memoria lunga ricorderete, ad esempio, che anche Ebay si appoggiava, accanto all’iscrizione “regolare” al suo portale, anche a Passport.
Oggi, Passport risulta essere usato principalmente nei siti Microsoft, che propone una “chiave unica”, vale a dire un solo username e password per accedere a tutti i suoi servizi.
Proprio l’utilizzo in vari siti fa si che la presenza di un bug di sicurezza in uno di questi comprometta la sicurezza degli altri.
Microsoft durante il log-in salva nel PC del visitatore un “cookie” che lo identifichi per le prossime entrate.
Mediante un bug da me scoperto nella versione francese (e già ho detto molto) di MSN posso facilmente, in un minuto circa, come hanno visto svariati giornalisti che mi hanno chiesto una dimostrazione pratica, rubare il cookie di un utente Passport per poi riutilizzarlo per sostituirlo al mio e, pertanto, identificarmi come il proprietario.
Se consideriamo che gli account Passport sono circa 200.000.000 (numero account Hotmail, anche se di fatto il numero è pressoché coincidente), posso affermare che 200.000.000 clienti di Microsoft sono a rischio di frode dell’account.
Purtroppo per la gravità del bug e dei possibili usi, finché la falla non viene corretta da Microsoft mi auto-censuro, non rilasciando altri dettagli, per evitare applicazioni non proprio a titolo di studio. Il bug da me scoperto è di tipo XSS.
Con questa nota premo affinché le varie testate segnalino la presenza di tale vulnerabilità, consigliando ai propri lettori di disattivare Javascript, per evitare di far incappare i propri lettori in frodi di identità.
Share: