La settimana prossima si terrà una conferenza a Las Vegas, la Black Hat security conference durante la quale alcuni ricercatori dimostreranno come siano riusciti a sviluppare un software in grado rubare i dati degli utenti di siti molto popolari, quali ad esempio Google, eBay e Facebook.
Il tutto grazie a quella che sembra un’innocua foto.
L’attacco si basa su un nuovo tipo di file ibrido, che “appare” diverso a diversi programmi; piazzando questi file, chiamati GIFAR dall’unione di GIF e JAR (Java ARchive), su siti che permettono l’upload di immagini, è possibile aggirarne i sistemi di sicurezza ed acquisire informazioni sugli account degli utenti.
Questi file appaiono come delle comuni gif al web server, mentre la Java Virtual Machine del browser della vittima li apre come un archivio Java e lo esegue come applet; di fatto ciò consente a chi attacca di eseguire codice Java sul browser della vittima.
Tuttavia ci sono alcuni modi che permettono quanto meno di ostacolare i malintenzionati.
Perchè l’attacco sia efficiente, è necessario che la vittima rimanga loggata per molto tempo presso i siti che ospitano le immagini (cosa comunque alquanto comune), quindi meglio usare un po’ di più la tastiera :); inoltre i siti web, essendo a conoscenza di questo problema, potrebbero rafforzare i loro filtri in maniera da individuare questi file ibridi. Un’altra possibilità (molto verosimile) è quella di un intervento da parte di Sun.
Certo, riportando le parole di Nathan McFeters, ricercatore presso l’Ernst & Young’s Advanced Security Center, il problema è un problema delle Applicazioni Web, e Java è solo uno dei possibili vettori per condurre attacchi; ciò significa che una volta risolto il problema relativo a questa tecnologia comunque si potrà presentare sotto un altro aspetto.
Forse è vero che, come dice Jeremiah Grossman, Chief Tecnology Officer di White Hat Security, che la sicurezza dei browser è un ossimoro.
