Interviste OWASP Day Italy 2009

Ecco le interviste fatte durante l’OWASP Day Italy 2009 a Milano.

Presto saranno disponbili su OWASP TV i video della conferenza.

 

Twitter horror

Non nutro una particolare simpatia per i social network più famosi, preferisco occuparmi delle implicazioni che possono portare in ambito di privacy e web security. Twitter è una piccola eccezione: mi piace perchè è immediato e semplice.

Twitter, come altri social network, è stato bersaglio di problemi di sicurezza nel corso del tempo. Recentemente ho notato, insieme a Rosario Valotta, un problema di sicurezza che poteva permettere ad un attaccante di prendere il pieno controllo di un account tramite il click su di un link da parte della vittima.

Più nel dettaglio il problema era relativo alla validazione dei parametri della query string: a causa di alcuni caratteri Unicode non correttamenti gestiti dall’applicazione e dall’output del nome del paramentro senza encoding era possibile far scattare un XSS richiamando una URL di questo genere:

http://twitter.com/testxss?<script>alert(‘xss’)</script>=%A2

Il problema della validazione dei caratteri unicode su Ruby On Rails, framework sul quale Twitter è basato, è stato risolto a Settembre 2009. Niente di nuovo, anche se non eravamo a conoscenza dell’articolo prima di fare indagini sulla vulnerabilità trovata. E’ buffo che nei primi giorni di Settembre, Brian Mastenbrook (a cui vanno i crediti per il problema degli Unicode su RoR), sul suo blog ha dichiarato:

After a few days of not receiving a response from either vendor, I decided to ping both of them to get an update. I pinged a security researcher who I knew worked at Twitter, and after a little back and forth things were quickly resolved and Twitter was patched.

Probabilmente hanno installato la patch senza fare code review dell’intero software o perlomeno delle funzioni utilizzate per la validazione dell’output.

L’XSS sul dominio twitter.com permetteva il pieno controllo dell’account della vittima al solo click di un link presente in un twit . Una falla innocente, come viene classificato l’XSS, in questo caso poteva innescare una infezione virale proprio per la natura su cui si basano i social network.
Tecniche come identity stealing, malware distribution e spam sarebbero state immediate.

Il video seguente dimostra in azione la vulnerabilità sfruttata da un JavaScript di poche righe scritto in qualche minuto:

Twitter dovrebbe curarsi maggiormente della sicurezza dei propri utenti, ed essi dovrebbero avere maggiore cura delle informazioni personali che pubblicano nel World Wide Web.

Disclosure:

  • 27 Ottobre: trovata la vulnerabilità
  • 28 ottobre:  Twitter avvisato del problema
  • 3 Novembre: Twitter riconosce il problema nella advisory di Brian Mastenbrook (ma non era già stata installata la patch?)
  • 10 Novembre: Twitter corregge la pagina di errore togliendo l’output del nome del paramentro
 

Le Webmail sono morte, viva le Webmail

Il fenomeno Webmail 2.0 è scoppiato da quando Google con la sua Gmail, ha scosso i concorrenti proponendo svariati giga per archiviare la propria posta elettronica online.
Non sempre però va tutto come dovrebbe e succede che la privacy della propria casella viene messa a rischio da vulnerabilità XSS e CSRF; evidentemente di criticità media-bassa nella svariata maggioranza di casi.
In questo caso però, grazie alla somma di più problemi un attacker può modificare le configurazioni delle caselle di posta elettronica delle vittime, impostando l’inoltro automatico di tutte le mail in arrivo verso un account e-mail da egli controllato. In tal modo è possibile violare la riservatezza delle caselle delle vittime senza ricorrere ai comuni metodi di identity stealing (cookie stealing, credential stealing), ma semplicemente inviando e-mail, preparare ad arte, alle vittime.
La pericolosità di questa tecnica è resa critica grazie a tre fattori:

  1. semplicità di exploiting (cross-browser)
  2. scarsa awareness della vittima (nessuna interazione richiesta oltre all’apertura della mail stessa)
  3. diffusione sul web (ampia diffusione della piattaforma vulnerabile e possibilità di propagazione virale)

Sia chiaro, nessuna novità nella categoria delle vulnerabilità delle Web Application, ma una dimostrazione di come l’insieme di alcune di queste può portare ad uno dei più gravi problemi mai registrati on-the-wild su Web Application. I bug scoperti sono adatti per sfruttati da quello che potrebbe essere uno dei più grandi e gravi Worm delle Web Application: numero di domini Internet coinvolti maggiore di 10 (cross-domain) e semplicità di propagazione.

Prima di scendere nei dettagli del funzionamento dell’attacco è doveroso precisare che il problema è stato corretto a tempo di record dal vendor che si è dimostrato attento alla sicurezza dei propri clienti.

(Continua…)

 

Sul futuro di LLOOGG

LLOOGG, your web2.0 tail -f access.log, ultimamente sta avendo problemi. Molti utenti, da giorni, si chiedevano come mai non fosse più raggiungibile. Il sistema non riusciva più a gestire il carico di tutti gli utenti entranti con invito su LLOOGG.

Il futuro di LLOOGG è così arrivato a un bivio come spiega ‘antirez’ sul suo blog:

Siamo ad un bivio: dovremmo chiuderlo o trovare un modello alternativo, ma l’idea di una chiusura non ci piace perché’ io e Fabio siamo i primi utenti di LLOOGG, perché’ dovremmo fare a meno di questo servizio?
La soluzione e’ quella di far diventare il servizio a pagamento.

La scelta fatta è quella di mantenere un tipo di account gratuito limitato nelle pageviews e nelle features e al contempo attivarne uno nuovo a pagamento per avere tutte le features complete.

Reputo il servizio molto comodo e assolutamente complementare a Google Analytics e simili. I filtri introdotti da poco poi, sono veramente comodi per tracciare le visite su pagine appena pubblicate e la distribuzione dei visitatori con pattern specifici.

Il tutto dovrebbe tornare online prima delle 48h. Tutti gli aggiornamenti sull’account Twitter di LLOOGG.

 

Pirati con il vento in poppa

Poco più di un mese fa il sequestro di The Pirate Bay.

www.thepiratebay.org.       28800   IN      A       127.0.0.1

Ieri il dissequestro, la prima volta che accade in Italia a riguardo dei provvedimenti di “censura” di DNS o IP. La relazione tecnica preparata da Matteo Flora e il ricorso preparato da Giovanni Battista Gallus e Francesco Paolo Micozzi è servita a far ritirare il procedimento di sequestro al Tribunale del Riesame.
Il motivo della decisione del Tribunale di Bergamo non si conosce, inutile fare ipotesi per ora.

Aspettiamo per vedere quanto ci vorrà per tornare a questo:

www.thepiratebay.org.   52928   IN      A       83.140.65.11

Il punto secondo me non è di aver difeso ThePirateBay in quanto tale, ma di aver vinto una (piccola) battaglia contro l’attuale gestione del copyright e della censura.

Per chi si fosse perso le fila della vicenda può leggere in questo ordine questo, questo e questo articolo.