Home
Mega-falla di Internet Explorer, imbarazzo per tutti

24 Dicembre 2003

Mega-falla di Internet Explorer, imbarazzo per tutti

di

Una vulnerabilità di Internet Explorer rende facile il lavoro di chi allestisce siti-trappola per commettere truffe. Microsoft tergiversa sulla correzione, così un gruppo open source offre una patch "non ufficiale", ora ritirata perché contenente errori e funzioni spia. Figuracce e lezioni amare per tutti

Un giorno o l’altro qualcuno mi spiegherà perché le banche e tanti siti di e-commerce continuano a consigliare Internet Explorer per la consultazione dei loro servizi online e anzi bloccano l’uso di browser alternativi. Di solito i loro responsabili, se interrogati, rispondono meravigliati che l’uso di Explorer è dettato ovviamente da “ragioni di sicurezza”. Gli altri browser, insomma, sarebbero troppo insicuri e vulnerabili.

È una spiegazione messa a dura prova dall’ennesima vulnerabilità scoperta di recente nel browser Microsoft, che consente di creare nella vittima l’illusione perfetta di interagire con la propria banca quando in realtà sta regalando password e coordinate bancarie a un sito-truffa. La giustificazione della sicurezza regge ancor meno quando si spinge a sconsigliare gli altri browser, visto che non soffrono di questa falla (con la parziale eccezione di Mozilla).

La truffa agevolata da questo difetto di Internet Explorer è l’equivalente dei mitici “falsi Bancomat”: apparecchi che somigliano in tutto e per tutto a quelli veri, al punto di elargire anche denaro, ma non fanno parte del circuito interbancario perché sono stati installati da abili truffatori. Questi falsi sportelli automatici effettuano una transazione perfettamente realistica, al termine della quale trattengono la tessera “per ragioni tecniche”. Avendo a disposizione la tessera e il relativo PIN digitato dall’ignaro cliente, gli artefici del raggiro procedono poi a prosciugare il conto corrente della vittima, recuperando ampiamente le somme dispensate.

L’equivalente online di questa truffa consiste nel creare un falso sito Web la cui grafica è assolutamente identica a quella del sito originale, tipicamente quello di una banca o di PayPal o di un altro sito, attraverso il quale passa denaro reale. La vittima viene indotta a visitarlo, per esempio tramite un e-mail che annuncia “problemi con la password” o una fasulla “imminente scadenza” del servizio, e vi immette i propri codici di accesso (ora sapete cosa sono quei messaggi di allarme di PayPal che ricevete anche se non siete utenti PayPal). Dietro al falso sito c’è, naturalmente, un truffatore che non fa altro che raccogliere i codici gentilmente immessi dalle vittime e usarli per vuotare i loro conti e riempire il proprio.

Come IE aiuta i truffatori

Finora si pensava ci fosse un modo semplice e affidabile per accorgersi del raggiro: controllare l’indirizzo visualizzato nella barra di navigazione del proprio browser. Se il link che viene proposto e si vuole visitare è “www.bancadelpiffero.it” ma la barra del browser visualizza tutt’altro, è chiaro che ci si trova in un sito-truffa.

Ma lasciate fare al buon Internet Explorer: se c’è una procedura semplice per rendervi sicuri, state certi che ve la complicherà fino a renderla inservibile. Infatti, il browser Microsoft permette a un truffatore di visualizzare nella barra di navigazione un indirizzo del tutto diverso da quello effettivamente visitato e quindi di nascondere completamente al malcapitato utente il fatto che è incappato in un sito-trappola. Questa falla, insomma, rende assolutamente perfetto l’inganno e lascia l’utente senza strumenti per difendersi. Complimenti.

Se vi interessa una dimostrazione pratica, usate Internet Explorer per visitare questa pagina di test. Se eseguite il test, vedrete una pagina che ha esattamente l’aspetto di una pagina Microsoft e Internet Explorer vi dirà nella barra di navigazione che state visitando il sito Microsoft, ma in realtà siete da tutt’altra parte (sul mio sito). Un utente medio non ha modo di rendersi conto di essere stato dirottato. L’unico indizio (in questo caso intenzionale) del falso è il testo leggermente implausibile della pagina visualizzata.

È chiaro che questo stesso meccanismo potrebbe essere usato per condurvi con l’inganno a un sito che invece di parodie di dubbio umorismo offre una copia esatta delle pagine Web della vostra banca. Nessuno potrebbe accusarvi di leggerezza se immetteste in questo sito-trappola i vostri codici di accesso bancari, perché la barra di navigazione di Internet Explorer vi confermerebbe (in apparenza) che siete davvero sul sito della vostra banca. È soltanto usando un browser diverso da Internet Explorer che l’inganno risulterebbe evidente: Opera, per esempio, visualizza un avviso molto chiaro in proposito.

Falla grave, ma niente patch

La gravità di questa falla è insomma evidente. Ciononostante, per il momento Microsoft non ha ritenuto opportuno distribuire una patch (correzione): in base alla sua nuova politica della sicurezza, le patch non vengono più distribuite appena sono pronte, ma una sola volta al mese, in modo da accorpare gli aggiornamenti. Siccome a dicembre non sono previsti altri aggiornamenti, questa falla rimane aperta almeno fino a gennaio 2004. Per ora, Microsoft ha soltanto diramato un avvertimento.

I truffatori, insomma, hanno avuto almeno un mese di tempo per fare i loro comodi, e probabilmente avranno ancora a disposizione qualche altra settimana per far danni prima che venga distribuita la patch che risolve la vulnerabilità. Con che faccia tosta le banche continuino a consigliare Internet Explorer “per ragioni di sicurezza” è al di là della mia comprensione. Sarà la stessa faccia tosta che hanno usato per rifilare le patacche finanziarie che sono sulla bocca di tutti in questi giorni, chissà.

Non è finita. La comunità open source avrebbe avuto di che gioire di fronte all’ennesima figuraccia dell’eterna nemica Microsoft, ma la vicenda ha avuto uno strascico imbarazzante. Un sito dedicato al freeware e all’open source, Openwares.org, ha infatti approfittato della latitanza di Microsoft per offrire una patch non ufficiale per risolvere la falla, fornendone anche il codice sorgente per dare maggiori garanzie di trasparenza.

Il compiacimento degli avversari di Microsoft è stato immediato e rumoroso. Questa, si è gongolato, è la lampante dimostrazione dell’incompetenza della società di Redmond, umiliata da un eroico gruppo di smanettoni. Peccato che si è scoperto in breve tempo che la patch non ufficiale contiene a sua volta una falla (un buffer overflow) e ha la sgradevole abitudine di comunicare segretamente al sito Openwares.org gli estremi dei siti-trappola in cui è incappato l’utente. Non è chiaro a cosa serva questa raccolta di dati, ma è comunque stata interpretata da molti come una forma di spyware. Una sorpresa non da poco per chi si crede garantito dalla disponibilità del codice sorgente.

Sorgente garante?

Questo mito del codice sorgente come garanzia va sfatato una volta per tutte. La semplice disponibilità del codice sorgente di un programma non garantisce un fico secco, perché non permette di sapere se il programma eseguibile che si scarica è effettivamente derivato dal codice sorgente pubblicato. La garanzia si ha soltanto se si può compilare in proprio il codice sorgente e verificare che coincide con l’eseguibile scaricato. È come avere da una parte uova, farina, acqua e lievito e dall’altra la torta finita: se non vediamo usare quegli ingredienti, non possiamo sapere se sono davvero presenti, e sono gli unici, nella torta già cotta. Dobbiamo fidarci del cuoco.

Questo semplice concetto era già emerso ai tempi del lancio dell’iniziativa della stessa Microsoft che offre ai governi “amici” di ispezionare il codice sorgente di Windows: questo, si dice, dovrebbe tranquillizzare sul fatto che Windows non contiene trabocchetti, ma in realtà non c’è modo di sapere se il codice sorgente ispezionato è davvero quello usato in Windows, dato che non è permesso compilarlo. Ci si deve fidare della parola di Microsoft, esattamente come prima.

La lezione era dunque chiara e già assimilata, ma siccome stavolta c’era di mezzo una comunità di utenti open source invece della multinazionale Microsoft, tutti si sono precipitati ad abboccare all’esca, ignorando le esperienze passate.

La vicenda Openwares danneggia non poco la reputazione del software open source. Ammettiamolo: il numero di utenti che si scarica il codice sorgente di ogni singolo programma open source e se lo compila è modestissimo. La maggior parte degli utenti scarica gli eseguibili precompilati, fidandosi che il loro contenuto coincida con il codice sorgente pubblicato. Ora è inevitabile che questa fiducia non sarà più elargita con l’attuale disinvoltura. I commenti sul sito Openwares.org, dove nel frattempo è stata pubblicata una nuova versione corretta della patch, sono eloquenti in proposito: certo, ora offrite la versione senza funzioni spia, ma a questo punto perché dovremmo fidarci di voi?

Lezioni per tutti

Da questo fiasco, insomma, non si salva nessuno. Le banche e tutte le organizzazioni commerciali che consigliano e addirittura impongono Internet Explorer per le transazioni commerciali rimediano una figura davvero misera: hanno scommesso sul cavallo dominante per scoprire che è un ronzino incline a comportamenti imbarazzanti. Microsoft si trova a difendere con disagio la scelta di pubblicare una sola serie di patch al mese, che dilata ulteriormente i tempi fra scoperta della falla e sua correzione e ampliando la relativa finestra di vulnerabilità degli utenti. I tifosi irrazionali dell’open source (non tutti, ma perlomeno la frangia che rigurgita slogan invece di ragionare) si ritrovano con le ossa rotte, perché quest’incidente mette in secondo piano la colpa originale della falla e fornisce a Microsoft una sublime arma di propaganda in favore del suo trustworthy computing.

I più bastonati di tutti, naturalmente, sono i poveri utenti, che ora ancor più di prima non sanno di chi e cosa fidarsi. Per il momento, l’unico rimedio contro questa confusione è dotarsi di un browser diverso da Internet Explorer e usarlo. Sempre che le banche, bontà loro, decidano di adeguarsi ai veri standard di Internet e lo accettino.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.