1 Commento

Un input poco ecosostenibile

C’è anche lo Skype-killer

di

thumbnail

08

giu

2015

I fan di Android e Windows stavano ridendo dell’SMS che blocca iPhone e il dio della Sicurezza ICT li ha castigati.

Stavolta è toccato a Skype. E la procedura per suscitare il malfunzionamento è ancora più semplice rispetto a quella che ha mandato in crisi iMessage. Il messaggio-killer è infatti di una semplicità quasi allarmante.

La stringa che ha bloccato uno dei sistemi di messaggistica più diffusi è:

http://:

Problema assicurato. Skype si riavvia continuamente. Le versioni affette dal problema sono quella desktop per Windows, iOS e Android. Si salvano la versione Metro, quella per Mac e quella per Windows Phone.

Anche in questo caso esistono dei possibili workaround:

  1. La persona che vi ha spedito il messaggio incriminato lo cancella.
  2. Vi loggate da una versione non vulnerabile e cancellate il messaggio.
  3. Disinstallate Skype e installate una versione inferiore con cui cancellare il messaggio. Poi riaggiornate.

Il baco è diventato noto mercoledì 3 giugno. Giovedì 5, Microsoft ha rilasciato una nuova versione con il baco corretto.

In definitiva 24 ore di panico e, di nuovo, Microsoft si è dimostrata molto più reattiva rispetto sia al passato sia alla concorrenza.

Sta di fatto che questa cosa deve far riflettere. Ricordate quel professore che in prima superiore diceva ai vostri genitori, alle udienze: signori, a vostro figlio mancano le basi, che professori ha avuto alle medie?

Bisogno di pulizia

Siamo nella stessa situazione. La sanitizzazione dell’input è uno dei pilastri per la scrittura di applicazioni sicure. Certo, a volte non è facile. Ci sono un sacco di librerie che svolgono una marea di funzioni secondarie, come per esempio cercare URL nel testo per renderli cliccabili (e probabilmente è una di queste che ha fallito miseramente con Skype), ma qui si parla davvero delle fondamenta di un programma.

Non dovremmo meravigliarci. Vi sono migliaia di applicazioni web ancora sensibili a problematiche di SQL Injection e Cross-site Scripting. E non parliamo del sito della casalinga di Voghera, ma di sistemi bancari, SCADA, gestione del traffico aereo e molte altre infrastrutture che sono critiche. Tutto questo perché i programmatori non si occupano dei fondamentali, come appunto una corretta gestione dell’input da parte dell’utente.

Nel deep web ci sono persone che vendono praticamente al chilo vulnerabilità accertate sui sistemi di cui sopra. Segno che quanto sto dicendo non sono le farneticazioni di un paranoico.

In due settimane due sistemi molto diffusi (tra iOS e Skype andiamo verso il miliardo di utenze) hanno rivelato non solo tutta la loro fragilità, ma anche come per provocare un Denial of Service non sia necessaria chissà quale tecnologia. Basta un file di testo ben scritto.

Se la prossima vittima fosse una lampadina facente parte della veniente Internet of Things? Che cosa potremmo aspettarci? Una città con un blackout a macchia di leopardo?

Io intanto faccio scorta di carta, penna e candele. Non si sa mai…

Ha anche una figlia di nome Aiuto, sono intrappolata in una fabbrica di produzione di patenti.

Una delle minacce maggiori per la sicurezza dei sistemi è un campo di input noncurante.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 3.474 volte | Tag: , , , , , ,

Un commento

  1. Diaolin

    Ma serve parsare tutto?

    Che ignavia!

    Brao Pila

Lascia il tuo commento