La saga delle vulnerabilità sul portale di Libero.it sembra destinata dopo il primo advisory di Rosario Valotta ed il mio advisory di ieri ad avere altri interessanti risvolti, come accennavo proprio nella giornata di ieri.

Libero.it sembra infatti aver adottato la politica del “fixing silenzioso” senza contattare gli autori, anche se per più volte avevo esortato il management del noto portale a contattare i singoli ricercatori.
Non ottenendo alcun tipo di contatto ed essendo quindi impossibilitati a risolvere la questione con i gestori dei siti incriminati siamo quindi obbligati ad utilizzare il meccanismo della Full-Disclosure per poter comunicare le differenti problematiche rilevate.

E così questa volta è ora di un Advisory congiunto mio, di Rosario Valotta e di Matteo Carli che si è aggiunto all’allegra combricola con una serie di problematiche.
L’Advisory, inviato sulla nota lista Full-Disclosure contiene istanze multiple di problematiche XSS ma anche interessanti risvolti su SQL Injection.

Esaminiamo le singole vulnerabilità una ad una, lasciando al documento la spiegazione precisa:

1. XSS redirector: Mediante un opportuna pagina configurata è possibile redirigere l’utente ad una pagina arbitraria e carpire al contempo il nome utente. In questo modo i tentativi di phishing sono di sicuro impatto poiché possono facilmente contenere anche la credenziale di username della persona. (Rosario)
2. XSS Redirector: Come sopra ma con script arbitrari eseguiti direttamente da una URL. Ancora più semplice da utilizzare in modo fraudolento. (LK)
3. SQL Validation: Errore di Open Query che conduce agevolmente a SQL Injection. Per ovvi problemi legali non è stata approfondita la ricerca ma provate a pensare a che tipo di dati contiene un DB come quello Oracle di Infostrada…
   Inoltre l’errore mostrato rivela importanti informazioni sul sistema dietro cui il portale gira. (LK)
4. CSSXSS su pagina HTTPS: Pericolosa variazione dei temi 1 e 2 che consente di iniettare codice XSS direttamente in una pagina HTTPS, sfruttando quindi l’effetto di “sicurezza” che una pagina protetta da in un utente. (Matteo Carli)

Personalmente attendo con ansia di sapere se potrò comunicare i prossimi problemi rilevati a qualcuno che può gestire il portale o se mi vedrò costretto ancora una volta a pubblicare un Full-Disclosure per mancanza di comunicazione…

Che tristezza il panorama italiano!

E pensare che un omologo problema rilevato ieri sul portale del 190 ha subito portato al contatto con uno dei Responsabili della Sicurezza e ad una immediata notifica della presa in carico del problema segnalato…
Forse per qualche vendor c’è ancora speranza…

Dopo la vulnerabilità di Rosario Valotta che avevo segnalato è ora di proporre la mia vulnerabilità personale ;)
Con un Advisory su BugTraq e su Full-Disclosure (e ovviamente all’Abuse di Libero.it) la Proof Of Concept di una pagina costruita per:

• Mostrare il Cookie dell’utente
• Mostrare un testo in alert evadendo i controlli degli apici
• Effettuare un redirect ad una pagina arbitraria

Ed ecco un paio di immagini della realizzazione pratica:

• Immagine 1: mostro il cookie
• Immagine 2: Mi preparo a redirigere l’utente

La vulnerabilità è presente (ma non è la sola) nella pagina di redazione del profilo e consente di inserire un qualunque codice Javascript con l’unica limitazione della impossibilità di usare apici.
Ma l’evasione di questi filtri è sinceramente una manovra tanto semplice quanto comune…

Sino a che Libero non eliminerà la pagina incriminata è possibile vedere gli effetti QUIe comunque nelle immagini presenti in questo Post.

E prima che qualcuno dica che l’XSS non è pericoloso, come ovviamente hanno sostenuto gli incaricati della PR di Libero, faccio solamente notare le potenzialità di phishing e di Session Riding che so per certo qualcuno sta valutando ;)

E nei prossimi giorni sembra proprio che verranno pubblicate svariate altre vulnerabilità sull’argomento Libero.it…

Sarebbe piacevole ricevere contatti dallo Staff del Portale per poter coordinare i lavori, ma a parte il Call Center non risponde mai nessuno di tecnico…
Ben disponibile a dare una mano, se possibile, ma per ora l’unica dimostrazione effettiva è che l’episodio precedente non è né isolato né tanto meno unico…

UPDATE: Sembra che nella mattinata del 29 il problema da me segnalato sia stato risolto e che quindi il link della POC non sia più funzionante. Per chi non è riuscito a dare un’occhiata qui di seguito il filmato che mostra il funzionamento della POC.

Era chiaro che l’argomento XSS e Libero avrebbe suscitato una risposta immediata e che questa sarebbe stata di false rassicurazioni, e ovviamente quanto PuntoInformatico riprende a distanza di 12 ore la news che vi avevo riportato ieri Libero parla e comunica la sia visione dei fatti:

“Non è vero - spiega Libero a PI - che la stringa codificata in MD5 contenga la password. Se anche la stringa venisse decodificata, non si otterrebbe la password, né altri strumenti utili per accedere in qualsiasi modo agli account“. Il che non deve sorprendere: la password può essere infatti ritoccata con strumenti ad hoc prima della cifratura vera e propria, rendendo quindi inutilizzabile l’eventuale dato decifrato. Per ricostruire dall’informazione decodificata la password vera e propria, spiega Libero, occorrerebbe avvalersi di strumenti proprietari predisposti dal portale e disponibili esclusivamente per i propri tecnici.

“Nel cookie - sottolinea Libero - c’è solo una mistura di dati che serve a noi per offrire il servizio”, e nessun’altra informazione utile.

A parte uno scetticismo di fondo che non sono riuscito a curarmi (il bug è stato risolto e non posso controllare le mie supposizioni), e cioè che bastasse giocare poco poco con una password conosciuta per ritrovare il corretto hash, non credo che i signori di Libero abbiano compreso a fondo il problema.

Mi piacerebbe conoscere l’opinione dei signori su un attacco di Session Riding che il cookie recuperato poteva comportare…

Ma come al solito i giovani italioti faranno finta di niente e i giornali manderanno messaggi rassicuranti dettati dai padroni di Libero e Wind.
Ah, beata Italia che non si preoccupa di alcun problema legato agli XSS… E’ quasi ora di fare un giro sul portale Libero.it e guardarsi in giro…

Aggiornamento: Una serie di riflessioni sulle dichiarazioni di Libero in merito al bug sono raccolte QUI

Che di italiani in gamba nel panorama mondiale della web security ce ne fossero molti non è sicuramente una novità (basti pensare alla OWASP Testing Guide e a profili come Alberto Revelli, Giorgio Fedon, Stefano Di Paola, Matteo Meucci…) ma leggere comunque su Full-Disclosure una segnalazione di XSS su un portale italiano fa comunque impressione…

Questa volta l’artefice della scoperta è l’italianissimo Rosario Valotta che in poche righe delinea nel suo report uno scenario che è il sogno del phisher di tutto il mondo. In tre semplici passi abbiamo la possibilità di rubare le credenziali di qualunque utente della Community di Libero:

• Fase 1: la app incriminata Con un semplice link come http://digiland.libero.it/profilo.phtml?nick=mickey è possibile accedere alla applicazione che consente il managing dei nick della community.
• Fase 2: grabbing del cookie
  Un semplicissimo XSS iniettato nel codice consente ad eventuali utenti malicious di recuperare il cookie associato all’utente loggato: un esempio pratico è questo da usare con IE.
• Fase 3: oltre il danno la beffa
  Oltre al vistoso errore di programmazione che determina la presenza di un XSS abbiamo presenti nel cookie entrambe le credenziali: lo username in chiaro e le password in MD5. Considerando che la maggior parte delle password sono di una lunghezza inferiore ai 6 caratteri la loro decifrazione appare alla luce di approcci MD5-rainbowtable un effort decisamente basso.

Oltre a questo è possibile inviare remotamente il cookie con un paio di altri giochi di prestigio segnalati nel post di Rosario su FD.

Staremo a vedere i tempi di risposta per la correzione di questo bug potenzialmente critico per una community numerosa come quella di Libero.it.

Come ovvio e come murphy insegna da anni:

La peggiore combinazione di eventi possibili é destinata ad accadere nel peggior momento possibile.

E quindi mi ritrovo a Verona per la conferenza, senza connessione e LastKnight.com finisce 25 giga di banda da inizio mese e va offline…
Da li telefonate negli USA e trouble ticket con il fido Blackberry, che sto usando anche ora per pubblicare con il blog…

Che dire? Grazie delle visite, grazie delle mail di segnalazione e soprattutto grazie per la stima che ho portato centinaia di migliaia di voi questo mese su LastKnight.com.

E domani qualche altra news, comunicando che sono riuscito a registrare l’audio della conferenza e qualità permettendo sarà pubblicato.

Un saluto a tutti! M

Una breve annotazione per informare che grazie al cortese invito del Prof.Avv. Lorenzo Picotti sarò a Verona nella giornata di domani 23 Marzo 2007 come relatore presso la conferenza “Dal Computer Crime al CuberCrime: le nuove minacce delle tecnologie informatiche” organizzata dalla Facoltà di Giurisprudenza dell’Università di Verona. Qui la locandina dell’evento e la pagina relativa.

A parlare con me ci saranno l’amico Raoul Chiesa e il competentissimo avvocato Stefano Aterno, oltre al Dott. Roberto Flor.

Il ciclo di conferenze è organizzato col patrocinio della Facoltà di Giurisprudenza e il contributo dell’Università degli Studi di Verona e il mio intervento avrà titolo: “Economics of malware. Il mercato, i vendor, i servizi delle realtà dietro al fenomeno del malware, dello spyware, dello spam e del riciclaggio di denaro nell’epoca del web 2.0“.

Per i più curiosi eccone l’abstract:

Chiunque abbia mail ricevuto un messaggio indesiderato etichettato come spam, chiunque sia mai stato contagiato almeno una volta da un Virus o abbia duellato per la rimozione di uno Spyware si sarà sicuramente fatto la stessa domanda: “Ma PERCHE’ ?”. Quali motivi spingono uno sviluppatore a cimentarsi nella creazione di gioielli di ingegneria del codice quali rootkit e Spyware? Quali ragioni spingono la creazione di strutture di mail capaci di miliardi di messaggi a secondo al solo fine di creare spam? Cosa si nasconde dall’altra parte della barricata, quella dove gli spyware, lo spam e i troyan sono un fiorente e redditizio business? Come si “comprano”, qual è il mercato, quale il modello di Business? Un’analisi tecnica e precisa dei meccanismi e dei soggetti alla base dei piuù famosi problemi si sicurezza dei personal computer e sulle dinamiche commerciali di una linea di business praticamente sconosciuta e dal fatturato talmente elevato da sorpassare il PIL di molte nazioni, alla ricerca di una ragione spesso taciuta dietro alla facciata dei “pirati informatici”. Per capire chi ci cerca di controllarci ed indirizzarci e come con questo gioco accumuli denaro e potere. Per capire percheè anche la nostra “piccola azienda” o il nostro “pc personale” siano un allettante bersaglio per i veri pirati del web.

Appuntamento quindi domani 23 Marzo 2007 alle ore 14:30 all’Aula “Bartolomeo Cipolla” dell’Università degli Studi di Verona, Facoltà di Giurisprudenza in via C. Montanari.