Falle informatiche, Google: non tutte sono degne di nota La caccia alle vulnerabilità sui propri servizi lanciata da Google deve premettere un'analisi di cosa NON è un rischio informatico

<span class="entry-title-primary">Falle informatiche, Google: non tutte sono degne di nota</span> <span class="entry-subtitle">La caccia alle vulnerabilità sui propri servizi lanciata da Google deve premettere un'analisi di cosa NON è un rischio informatico</span>

Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità quelle che rientrano nelle seguenti categorie:

  • Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
  • Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
  • Mixed-content scripts, legato invece a casi di furto d’identità;
  • Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità reale di un utente e sui suoi permessi;
  • Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)

Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.

Screen 2015-01-05 alle 00.54.18Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.

I punti pseudo-critici o relativamente contenuti sono, invece:

  • accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
  • cookie persistenti dopo il logout;
  • possibilità di associare indirizzi Gmail a nominativi reali;
  • bug relativi a prodotti recentemente acquisiti da Google;
  • l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
  • clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.

Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.

 

 

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.