Ancora su Libero.it

28 Mar Advisory, Hacking e Security

Era chiaro che l’argomento XSS e Libero avrebbe suscitato una risposta immediata e che questa sarebbe stata di false rassicurazioni, e ovviamente quanto PuntoInformatico riprende a distanza di 12 ore la news che vi avevo riportato ieri Libero parla e comunica la sia visione dei fatti:

“Non è vero - spiega Libero a PI - che la stringa codificata in MD5 contenga la password. Se anche la stringa venisse decodificata, non si otterrebbe la password, né altri strumenti utili per accedere in qualsiasi modo agli account“. Il che non deve sorprendere: la password può essere infatti ritoccata con strumenti ad hoc prima della cifratura vera e propria, rendendo quindi inutilizzabile l’eventuale dato decifrato. Per ricostruire dall’informazione decodificata la password vera e propria, spiega Libero, occorrerebbe avvalersi di strumenti proprietari predisposti dal portale e disponibili esclusivamente per i propri tecnici.

“Nel cookie - sottolinea Libero - c’è solo una mistura di dati che serve a noi per offrire il servizio”, e nessun’altra informazione utile.

A parte uno scetticismo di fondo che non sono riuscito a curarmi (il bug è stato risolto e non posso controllare le mie supposizioni), e cioè che bastasse giocare poco poco con una password conosciuta per ritrovare il corretto hash, non credo che i signori di Libero abbiano compreso a fondo il problema.

Mi piacerebbe conoscere l’opinione dei signori su un attacco di Session Riding che il cookie recuperato poteva comportare…

Ma come al solito i giovani italioti faranno finta di niente e i giornali manderanno messaggi rassicuranti dettati dai padroni di Libero e Wind.
Ah, beata Italia che non si preoccupa di alcun problema legato agli XSS… E’ quasi ora di fare un giro sul portale Libero.it e guardarsi in giro…


Post Simili
Tags:
post<li>
« Libero.it e XSS: pericolo credenziali!
Altra Vulnerabilità XSS su Libero.it »

7 commenti presenti.

  1. Giorgio Maone
    28 Mar 07
    12:50 pm

    A Punto Informatico l’avevo segnalata ieri mattina, fornendo loro anche riferimenti tecnici su XSS e session riding, ma evidentemente hanno preferito le risibili rassicurazioni dei P. R. di Libero.

    A proposito, se come sempre le vulnerabilità XSS hanno un unico “rimedio”, cioè la correzione da parte del webmaster che ha sbagliato, di recente esiste una forma di protezione anche per gli utenti.

    A costo di sembrare sfacciato (shameless plug), segnalo che le ultime release candidate di NoScript contengono efficaci contromisure anti-XSS: http://noscript.net/getit#devel

    In effetti sono tanto efficaci (testate dalla community http://sla.ckers.org) che l’unico aspetto ancora oggetto di qualche attenzione prima del rilascio ufficiale è la riduzione dei falsi positivi ;)

  2. Nessuno
    28 Mar 07
    2:04 pm

    Mi chiedo una cosa (e non sono il solo): è legale mostrare / divulgare buchi di sicurezza di siti web?

    Non fraintendermi: lo chiedo perchè ne avrei a valangate (forse molto più gravi) ma non saprei come fare per comunicarlo alle grosse aziende (visto le risposte incazzate alle quali si va in contro). Di solito per i piccoli siti tutti sono felici e contenti… ma per le attività commerciali non è proprio così…

  3. Alessio Marziali
    28 Mar 07
    2:08 pm

    Ero ansioso di leggere la risposta di libero. Diciamo che la risposta rispetto ai nostri standard nazionali non sorprende. Una vulnerabilità XSS non è meritevole di diffusione mediatica fin tanto che non ha arrecato danno.

    La parte più interessante della risposta di libero s’identifica nella seguente porzione di frase “Il che non deve sorprendere: la password può essere infatti ritoccata con strumenti ad hoc prima della cifratura”. Il quale deve essere tradotto in un “L’hash può contenere la password ma alcuni caratteri aggiunti la rendono non funzionante. L’utilizzo dell’aggiunta dei dati ad una informazione segreta non è proprio un bell’esempio da dare.

    Sappiamo tutti che i metodi e gli strumenti per attacchi statistici di questo possono essere portati a termine.

    Ciao Matteo.

  4. Giacomo Rizzo
    28 Mar 07
    3:43 pm

    Purtroppo siamo alle solite… finchè non gli prendono fuoco i …. del …., non capiscono… e poi danno la colpa al primo pirla che passa…

  5. Matteo
    28 Mar 07
    7:12 pm

    Sono completamente d’accordo con gli altri.

    Gli XSS in generale, ma Italia sicuramente di più, sono visti come problemi secondari basti vedere la saga di MySpace a riguardo.

  6. aNt1X
    29 Mar 07
    1:25 pm

    @ Alessio Marziali :
    “Sappiamo tutti che i metodi e gli strumenti per attacchi statistici di questo possono essere portati a termine.”
    Una domanda: gli attacchi statistici possono essere portati a termine anche su parole di 5-10 caratteri? Non è forse necessario avere a disposizione un testo cifrato lungo centinaia di caratteri per portare a termine un buon attacco di tipo statistico?
    E’ solo una mia curiosità, non prenderla come una critica.

  7. Libero.it e XSS: pericolo credenziali! 0 LastKnight.com - Matteo Flora
    02 May 07
    10:26 pm

    [...] Aggiornamento: Una serie di riflessioni sulle dichiarazioni di Libero in merito al bug sono raccolte QUI [...]

Scritto da Matteo G.P. Flora.
28 March 2007 alle 11:29 am
7 commenti
Advisory, Hacking e Security
comments feed.

Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete curiosi...

Lastknight.com is Digg proof thanks to caching by WP Super Cache!