Portare un nome metà calabrese e metà inglese non è l’unica peculiarità del worm proof of concept Nduja Connection . Il suo autore, Rosario Valotta, afferma infatti che la sua “creatura” si distingue dalla massa per essere “cross webmail”, ossia in grado di diffondersi su più servizi di posta elettronica web-based.
Nduja è stato progettato per sfruttare le vulnerabilità cross-site scripting (XSS) presenti in alcuni dei principali siti italiani di webmail , tra i quali Tiscali , Lycos , Excite e Libero . Secondo il suo autore, il worm può rubare messaggi e contatti e “propagarsi indisturbato” .
Valotta spiega che Nduja Connection è stato scritto in JavaScript e pensato “per emulare delle funzionalità virali sfruttando alcune vulnerabilità di sicurezza presenti nei servizi di webmail”.
“Sebbene il codice di Nduja Connection sia perfettamente funzionante, è soltanto un PoC (proof of concept, ndr.) e non vuole rappresentare una concreta minaccia per la privacy degli utenti e la funzionalità dei servizi di webmail”, precisa l’hacker italiano nel proprio sito web , sito in cui si trova anche una dettagliata analisi del worm e delle falle che sfrutta. “Lo scopo di questo progetto è soltanto quello di documentare ed evidenziare le possibili nefaste conseguenze derivanti da una mancata presa di coscienza della pericolosità delle falle XSS, soprattutto se presenti in servizi con una massa critica di utenti come appunto le webmail”.
“Il motivo che mi ha spinto a scrivere il worm – ha spiegato a Punto Informatico lo sviluppatore – è la volontà di dimostrare come i gestori italiani dei provider di servizi web e di web application in generale prendano troppo alla leggera la sicurezza applicativa . Il concetto di sicurezza informatica in Italia è quasi esclusivamente concepito come network security , ragion per cui rendere sicuro un servizio web equivale a blindare l’infrastruttura di rete e l’hardware su cui il servizio gira”.
Valotta ritiene che i siti italiani manchino di una visione della sicurezza a 360 gradi e a lungo termine , come avviene invece da tempo in USA, e “mancano totalmente di un approccio strutturale verso quest’ambito della sicurezza”. Secondo l’hacker, almeno un quarto degli account di webmail italiani sarebbero vulnerabili al suo worm , e questo la direbbe lunga sul livello di sicurezza dei servizi webmail nostrani.
“Sarebbe il caso di sensibilizzarsi un po’ sull’argomento, tanto più che un investimento sulla web application security non comporta ingenti spese per l’acquisto di infrastrutture, ma solo l’adozione di un approccio sistematico di controllo e verifica del codice applicativo”, ha commentato Valotta. “Ci sono organismi indipendenti nel panorama mondiale (ad es. OWASP ) che hanno già pubblicato montagne di documentazione (guide, blueprints, etc) che può essere liberamente scaricata e consultata”.
Le vulnerabilità XSS sono da tempo considerate dagli esperti di sicurezza una delle maggiori piaghe del Web.
Le capacità di Nduja Connection vengono illustrate in questo video .