Se lasciate senza alcun controllo, le applicazioni di terze parti sui social network potrebbero essere il prossimo strumento di attacco dei criminali informatici. Gli esperti di sicurezza temono infatti che le applicazioni di cui gli utenti hanno imparato a fidarsi potrebbero essere utilizzate per ingannarli e spingerli a fornire le proprie credenziali oppure per distribuire spam e malware.
Il rischio delle applicazioni di terze parti
Nonostante gli attacker siano in grado di progettare proprie applicazioni
utilizzando le interfacce di programmazione gratuite rilasciate dai social
network, la vera preoccupazione è rappresentata dalle applicazioni di terze
parti e dai potenziali errori di codifica che esse contengono, cui si
aggiungono i contenuti generati dagli utenti, che includono una codifica di
bassa qualità. Un cracker esperto può trovare un errore e creare un attacco in
grado di ingannare migliaia di utenti a loro insaputa.
L'esempio del portale MetaFilter
Il portale di discussione e link-sharing MetaFilter era all'interno di una
lunga lista di piattaforme user-driven e siti Web che sono stati vittima di
attacchi SQL injection nel 2009. Un attacco standard di SQL injection nei
confronti di un'applicazione Web ha lasciato alcune pagine di MetaFilter vulnerabili
ad attacchi di SQL injection. Tale applicazione era stata creata nei primi
giorni di vita del sito e quindi poteva avere una decina di anni. Il sito è
stato bloccato e ci sono voluti circa due giorni per rimediare alle lacune in
ogni pagina e assicurarsi che la lettura di ogni URL fosse al sicuro. Il sito
si basa principalmente sull'autoregolamentazione per garantire gran parte della
qualità del suo contenuto.
"Se si guardano solo i log del server Web, può non esserci nulla di palesemente riconoscibile come maligno - ha detto Ryan Barnett, direttore dell'application security research di Breach Security, società di Carlsbad in California -. L'aspetto più critico è che ci sono persone che cercano, osservano e usano il loro cervello".
Molti degli attacchi che compromettono gli account e portano contenuti dannosi sono dovuti al phishing e link maligni che vengono trasferiti attraverso i sistemi di messaggistica interna su siti come Facebook e MySpace. Ma le applicazioni di terze parti, che spesso sono rapidamente approvate dal social network per migliorare l'esperienza dell'utente, sono sempre più fonte di preoccupazione. Chiunque può scriverle, anche persone con poca esperienza di codifica, ha dichiarato Barnett. Finora, gli attacchi si sono verificati principalmente attraverso tentativi di phishing sui sistemi di messaggistica interna dei social network.
"Tutti vogliono nuovi widget e nuove caratteristiche perché sono importanti attrattive per i propri siti - ha sostenuto Barnett -. La sfida più grande è la difesa contro gli attacchi user-driven ovvero individuare il modo in cui un utente legittimo potrebbe consentire di colpire un sistema al fine di individuare i punti deboli di un'applicazione".
I social network che si basano sui contenuti creati dagli utenti in genere usano strumenti proprietari per monitorare il traffico di rete e per la scansione dei contenuti stessi alla ricerca di potenziali problemi. Ma nei siti più piccoli, spesso mancano risorse e competenze per un controllo dell'applicazione dei contenuti, ha detto Michael Coates, esperto di sicurezza e volontariato presso l'Open Web Application Security Project (OWASP).
Coates, che è a capo del team Project AppSensor di OWASP, spera che le metodologie di sviluppo software e il framework possano contribuire a individuare i problemi all'interno di siti Web dovuti ad applicazioni di terze parti. Coates ha detto che gli sviluppatori di software che utilizzano AppSensor possono inserire all'interno di applicazioni Web un sistema di intrusion detection e funzionalità di risposta automatica. Questo può aiutare a identificare e prendere provvedimenti nei confronti di un utente o di un malware che cerca di sfruttare le potenziali vulnerabilità all'interno dell'applicazione stessa.
"Attualmente, molte applicazioni finanziarie e di compravendita di titoli usano una forma di individuazione delle frodi; questa rilevazione si concentra maggiormente sul versante finanziario delle attività, come l'individuazione di movimenti sospetti di denaro - ha affermato Coates -. La differenza con AppSensor è che stiamo mettendo l'individuazione all'interno dell'applicazione. La metodologia di rilevamento di AppSensor può essere integrata in qualsiasi applicazione per fornire un'efficace individuazione e prevenzione degli attacchi".
OWASP sta anche provando alcuni metodi per la scansione e il riconoscimento di codice potenzialmente dannoso inviato dagli utenti su forum Web, pagine dei profili utente e altre pagine dove gli utenti possono liberamente pubblicare contenuti. Arshan Dabirsiaghi, esperto di codifica di sicurezza e volontario OWASP, responsabile dell'AntiSamy project, ha prodotto un tool che analizza HTML e CSS per garantire che gli utenti non inseriscano codice maligno nel loro profilo, nei commenti o in altri settori di una piattaforma di social networking.
Mentre esistono soluzioni proprietarie per i maggiori social network che dispongono di denaro da investire in sicurezza, i siti più piccoli hanno bisogno di tool open source, ha detto Barnett. Il progetto di Barnett Web Application Security Consortium Open Distributed Proxy, che è andato a regime nel 2007, sta ha monitorando il traffico maligno e i tentativi di attacco.
Il consorzio gestisce anche il Web Hacking Incident Database, una raccolta di tentativi di hacking individuati dall'open proxy honeypot. Non sorprende che gli SQL injection automatizzati e gli attacchi cross-site scripting (XSS) siano gli autori dei maggiori reati elencati nel database. Gli attacchi consentono ai cybercriminali di trovare un buco nelle applicazioni Web e di modificare il codice utilizzandolo sia per accedere a un sito Web sia per trasformarlo in uno strumento di attacco.
Come esempio di un'applicazione che si presta allo spoofing del contenuto, gli esperti hanno mostrato l'attacco dello scorso anno al sito della rivista Wired. Un adolescente ha utilizzato un programma di utilità mal progettato per la gestione delle immagini di Wired per caricare un report fasullo che diceva che il CEO di Apple Steve Jobs era stato vittima di un attacco di cuore. Gli esperti di sicurezza hanno detto che il codice del tool era ben fatto, ma progettato in modo da permettere di abusarne.
"Per molte applicazioni di questo tipo, gli sviluppatori non pensano di codificare funzioni di sicurezza o sistemi che possono evitare l'insorgere di problemi in futuro. In fin dei conti, si tratta solo di add-in" ha concluso Barnett.
