Non si fa altro che parlare di come contrastare i nuovi stratagemmi che ogni giorno vengono messi a punto da spammer e dai vari altri untori della Rete per far sì che un qualsiasi computer diventi una fiera virtuale dove chiunque ha libero accesso e può comodamente girovagare all’interno dei diversi stand andando alla ricerca, piuttosto che di gadget vari o di altri ammennicoli, di informazioni personali più o meno sensibili preziosamente custodite dal “padrone di casa”.
Capita spesso di leggere come qualche ingegnoso smanettone, scovando delle vulnerabilità presenti nei software, le abbia sfruttate per garantirsi la possibilità di portare a compimento un’incursione o quanto meno riuscire ad inquinare un sistema informatico.
Qualcuno però ha affermato di riuscire a guadagnarsi l’accesso ad una applicazione Web senza avere la necessità di analizzare il codice del software.
E’ il caso di Chris Nickerson, amministratore di un’impresa americana impegnata nel settore security consulting, il quale ha affermato che la correzione di falle individuate in un applicativo non dà la certezza di possedere un prodotto blindato.
Nella conferenza tenuta alcuni giorni fa a New York, il signor Nickerson ha mostrato ai partecipanti all’OWASP – Open Web Application Security Project – quale è il panorama dei rischi in cui possono incappare le aziende prese ad obiettivo dagli 007 dello spionaggio industriale ed il conseguente danno economico.
L’approccio adottato dal suo Tiger Team, composto anche da Ryan Jones e Luke McOmie, è quello di effettuare, oltre ai consueti test finalizzati alla ricerca di bug, verifiche di carattere prettamente basate sulla componente umana.
“Piuttosto che iniziare ad esaminare il codice di programmazione di un software, cerco di conoscere il compilatore. Se ha un account su MySpace, indirizzi di posta elettronica e numero di telefono, comincio a tracciarne il profilo. Posso garantire che riuscirò a conoscere il sorgente prima ancora di metterci mano” è quanto ha dichiarato con tono tipico di chi sa il fatto suo.
Anche i forum sembrerebbero essere un eccellente luogo ove poter tessere la propria ragnatela, ma in questo caso è necessario attendere prima che la preda si faccia avanti.
Infatti di frequente gli sviluppatori si rivolgono in alcune di queste piazze virtuali con la speranza di ricevere consigli da omologhi esperti per poter sormontare eventuali difficoltà incontrate durante la programmazione.
E’ qui che il misfatto potrebbe compiersi, fornendo dei falsi consigli che, anziché arginare la falla, vanno ad aprirne di nuove.
L’esempio è stato quello di inserire degli exploit all’interno di finti “white paper” in formato PDF.
A riprova delle insidie nascoste nella Rete, un altro episodio raccontato è stato quello in cui, con l’ausilio di un cliente della sua azienda, Nickerson ha “postato” su un forum un file PDF col quale venivano richieste alcune delucidazioni.
Il documento conteneva nei meta-dati un falso nome utente del compilatore.
In men che non si dica, sono stati riscontrati numerosi tentativi di accesso da parte di ignoti alla macchina del cliente utilizzando
