Home
Niente panico, è solo un Bill-ennium Bug!

14 Maggio 2003

Niente panico, è solo un Bill-ennium Bug!

di

Due incredibili falle di sicurezza rischiano di relegare le ambizioni di "trustworthy computing" di Microsoft fra gli scarti della storia dell'informatica, sepolti dal ridicolo

Probabilmente avete sentito parlare di Passport, il servizio gratuito di Microsoft che permette di centralizzare le infinite password che ci chiedono i siti Web e sostituirle con un’unica password maestra, custodita da Microsoft. La sostanza del servizio è che se un sito di commercio elettronico o la nostra banca offre accesso tramite Passport, non dobbiamo prenderci la briga di ricordarne login e password e digitare il codice della nostra carta di credito: clicchiamo sul pulsante Passport, digitiamo la nostra password maestra, e magicamente Microsoft immette per noi tutti i dati, garantendo nel contempo al sito che il visitatore (o acquirente) è davvero chi dice di essere.

Passport è uno dei pilastri dei progetti Microsoft per il trustworthy computing, quella “informatica degna di fiducia” che nelle ambizioni di Bill Gates dovrebbe rivoluzionare l’e-commerce, rendendolo finalmente facile, sicuro e affidabile.

In cambio, Microsoft si prenderebbe una percentuale su ogni transazione commerciale effettuata tramite Passport. Fate un bonifico con Passport, e plink! zio Bill intasca qualche vostro cent. Acquistate un oggetto su eBay, e ri-plink! zio Bill ne incamera qualche altro.

Già adesso i duecento milioni di utenti Passport fanno plink tre miliardi e mezzo di volte al mese. Se Passport prende piede presso tutti i seicento milioni di utenti della Rete, ciascuno con il proprio fardello di pagamenti da fare, ne scaturisce una montagna inimmaginabile di denaro.

È chiaramente un’idea commercialmente molto appetibile, dalla quale potrebbero dipendere sia il futuro dell’azienda, sia soprattutto i soldi degli utenti (di cui Passport custodisce i codici delle carte di credito oltre ai dati anagrafici e all’indirizzo di casa), e quindi si presume che Microsoft l’abbia implementata con i controfiocchi, impenetrabile e invulnerabile, con una “potente tecnologia di sicurezza online”, come dice rassicurantemente il sito di Passport. La dicitura sul portale di Passport dovrebbe essere un dantesco “lasciate ogni speranza, voi (pirati) ch’entrate”.

(T)rustworthy Computing

Purtroppo nei giorni scorsi si è visto che invece una scritta più consona sarebbe “vai avanti tu che mi viene da ridere”. Infatti è saltato fuori che impossessarsi della password maestra di un utente Passport, e quindi potenzialmente prendere il controllo dei suoi conti in banca, dei suoi acquisti e della sua identità, è stato per mesi un gioco da ragazzi.

Non era richiesta alcuna conoscenza speciale, né l’uso di chissà quali grimaldelli informatici. Bastava una riga di codice immessa in un browser, per la precisione questa:

https://register.passport.net/emailpwdreset.srf?lc=1033&[email protected]&id=&cb=&[email protected]&rst=1

Come noterete, è un normale link alla pagina Web di Microsoft che permette di reimpostare la password maestra di Passport. L’utente riceve via e-mail un link “usa e getta”, univoco e individuale, presso il quale può immettere una nuova password senza conoscere quella vecchia.

Fin qui niente di male: è una prassi di sicurezza comune e ragionevole, utile per gli sbadati che dimenticano i codici di accesso. Soltanto chi ha quel link speciale, ossia l’utente, può cambiare la password.

Ma Microsoft ha commesso una leggerezza incredibile, prevedendo l’opzione di mandare il link speciale a un qualsiasi altro indirizzo oltre a quello dell’utente. Di conseguenza, un aggressore poteva usare quella semplice riga di codice per ricevere comodamente al proprio indirizzo di posta il link speciale di un utente a suo piacimento e da lì cambiargli la password e quindi prendere il controllo di tutte le sue attività gestite tramite Passport. Inoltre l’aggressore poteva avere pieno accesso alle caselle di posta di Hotmail e impedirlo al legittimo proprietario, mandando ogni sorta di sconcezze spacciandosi per la vittima.

“È così semplice che fa ridere”, ha scritto lo scopritore della falla, che si fa conoscere in Rete con il nome di Muhammad Faisal Rauf Danka e che si è messo a studiare il problema dopo che il suo account su Passport gli era stato misteriosamente sottratto.

Mega-multa. O tera-multa?

Riderà un po’ meno Bill Gates, perché questa ennesima gaffe potrebbe costargli tanti, tantissimi plink. Per la precisione, fino a 2,2 mila miliardi di dollari.

Infatti Microsoft era già finita nel mirino delle autorità USA proprio per colpa di Passport e della sua sicurezza, ritenuta inadeguata al punto di dover accettare un accordo con la potente Federal Trade Commission. Secondo l’accordo, Microsoft deve impegnarsi a prendere “misure di sicurezza ragionevoli” per proteggere le informazioni dei propri clienti per i prossimi vent’anni. Se fallisce, rischia una multa massima di undicimila dollari per ogni infrazione. Secondo una portavoce della FTC, ciascun account vulnerabile di Passport potrebbe essere visto come un’infrazione, e quindi la multa andrebbe moltiplicata per duecento milioni di utenti.

Microsoft ha dapprima chiuso l’intero sistema di reimpostazione delle password e nel giro di una notte ha rimesso online una versione priva di questa vulnerabilità, annunciata sempre con il solito fare rassicurante: “può darsi che sia stato compromesso un piccolo numero di account Passport”. Come facciano già a sapere che quel numero sia “piccolo” quando fino a qualche giorno fa manco sapevano del problema, e che cosa si intenda di preciso per “piccolo” quando Passport ha duecento milioni di utenti, è un mistero.

Anche se difficilmente si arriverà a queste cifre stratosferiche, la reputazione già incerta di Microsoft in fatto di sicurezza non si riprenderà presto da questo sconquasso memorabile, che potrebbe costarle altrettanto caro. Progetti come Palladium e la gestione dei diritti digitali, che vedono Microsoft proporsi come garante della sicurezza, sono ora seriamente compromessi, al punto che c’è chi ironizza parlando di “rustworthy computing”, ossia “informatica degna di essere lasciata ad arrugginire”.

Chi ha bisogno dei cyberterroristi? IE fa tutto da solo

I guai non vengono mai da soli, e forse Microsoft ha bisogno di acquistare un po’ di siero antisfiga, perché oltre al monumentale svarione di Passport è emersa anche una vulnerabilità in Internet Explorer che è anch’essa “così semplice che fa ridere”. È questa (con le parentesi angolari al posto delle parentesi quadre):

[html][form][input type crash][/form][/html]

Scrivete questa singola riga di codice in un file a cui date l’estensione html, e aprite il file con Internet Explorer; o se siete pigri, provate la mia versione prêt à crasher. Explorer va in tilt, e lo stesso fanno Outlook e Frontpage, perdendo eventuali dati sui quali stavate lavorando. Questa riga di codice può essere immessa in un e-mail e mandata a una vittima che usa Outlook o Outlook Express, paralizzando il suo accesso alla posta. Al posto di crash potete scrivere qualsiasi cosa: il risultato non cambia.

Mi arrendo. Sono vecchio, e le nuove tecniche di persuasione mi sfuggono. Non capisco come Microsoft intenda ispirare fiducia nei propri clienti lasciando, a un anno di distanza dal suo celebre “mese della sicurezza”, falle elementari di questa portata nei propri prodotti di punta. Ai miei sette neuroni rimasti pare un controsenso che solo il mitico ministro dell’informazione iracheno potrebbe contemplare serenamente. Forse è una strategia Zen. O forse è frutto della stessa mente Microsoft che ha partorito la latrina Internet, con quella sua inquietante “tastiera wireless che si può tenere in grembo” durante… beh, ci siamo capiti. Ditemi che è uno scherzo, vi prego.

Aggiornamento (13/5/2003)

A proposito della latrina Internet, Microsoft ha ammesso oggi che si tratta di uno scherzo inventato dalla filiale britannica di MSN, chiedendo scusa per l’equivoco. Un ennesimo esempio di problemi di controllo qualità per Microsoft, che non solo consegna i pesci d’aprile con un mese di ritardo, ma conferma l’impressione che ormai una mano non sappia più cosa fa l’altra: l’esistenza della latrina telematica era stata, infatti, esplicitamente e ripetutamente confermata alla Associated Press dalla società di pubbliche relazioni di Microsoft nel Regno Unito.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.