Cerca nel blog

2005/10/18

Myspace vittima del primo worm del “nuovo Web”

Questo articolo vi arriva grazie alle gentili donazioni di "giovanni.carb***", "ziobodi" e "fabio".

Myspace.com, recentemente acquisita dal magnate Murdoch, è stata messa in ginocchio da quello che sembra essere il primo worm del cosiddetto "nuovo Web", dimostrando eloquentemente quanto sia stato ottimista chi sperava di assistere entro breve alla nascita di applicazioni sofisticate che si caricano come pagine Web (immaginate Microsoft Office o OpenOffice.org accessibili tramite pagine Web, come si fa ora con la webmail).

Il worm, scritto in JavaScript, ha permesso a un utente che si fa chiamare Samy di infettare col proprio codice, inserendovi le parole "but most of all, samy is my hero", oltre un milione di pagine personali di Myspace, che da due giorni lotta per rimettersi in piedi. I dettagli tecnici del worm sono disponibili in Rete insieme a un'intervista a Samy (entrambi sono in inglese).

L'immagine è tratta da quest'analisi del worm.

In sostanza, Samy ha scritto del codice Javascript nonstandard (che però veniva eseguito lo stesso dai browser delle vittime ma ignorato dai filtri di sicurezza di Myspace), e l'ha piazzato nella propria pagina su Myspace. Qualunque utente di Myspace che visitava la pagina di Samy avendo attivo Javascript (cosa pressoché indispensabile per poter usare i servizi di Myspace) eseguiva automaticamente e inconsapevolmente il codice, che aggiungeva Samy alla lista degli amici del visitatore: questo normalmente richiede il permesso del visitatore, ma il codice scritto da Samy scavalcava la richiesta.

Fatto questo, il codice virale si iniettava nella pagina Myspace del visitatore, così qualunque altro utente Myspace che visitava la pagina infetta si infettava a sua volta, e così via. L'effetto valanga è stato inevitabile.

Il caso ribadisce, insomma, che non è così facile creare un'applicazione o addirittura un sistema operativo mettendo insieme un po' di Javascript, XHTML e un browser (secondo l'approccio AJAX che ultimamente è sulla bocca di tutti) come invece molti pensavano dopo il successo di prodotti effettivamente assai ben fatti come Google Earth o Gmail o Blogger. Ehi, guarda, Blogger ha un editor che sembra un piccolo programma di scrittura, con i grassetti, i corsivi, il copia e incolla, che carino, proprio come Write di Windows... perché non estendere l'idea a OpenOffice.org o Microsoft Office? Anzi, perché non fare addirittura un sistema operativo? Così freghiamo Microsoft!

Belle speranze, come quelle che facevano pensare a molti che il recente annuncio della partnership fra Google e Sun fosse l'inizio di una Santa Alleanza per eliminare Microsoft. Speranze che non hanno considerato il problema non trascurabile della gestione della sicurezza nelle applicazioni veicolate tramite browser.

I browser sono fatti per essere tolleranti nei confronti degli errori: codici HTML errati, script scritti male, eccetera. Questa tolleranza, nata per rendere meno doloroso comporre le prime pagine Web, è il tallone d'Achille di tutta l'idea delle applicazioni via Web: come dimostra Samy, la tolleranza dei browser verrebbe sfruttata dagli aggressori per causare ogni sorta di danni.

Le applicazioni via Web non se ne andranno, perché sono effettivamente un obiettivo estremamente interessante (immaginate di poter accedere a tutti i vostri programmi preferiti da qualsiasi computer, con la stessa facilità con la quale accedete alla vostra webmail da un Internet café o dal PC di un amico). Tuttavia, probabilmente prenderanno piede soltanto quando qualcuno scriverà un browser su misura, privo delle attuali tolleranze. Questo sì che è un compito per Google.

3 commenti:

lucacicca ha detto...

Mi sa che siamo ancora lontani dal PC usato come terminale, con dati ed applicazioni in rete.
E' sempre il solito enorme problema della sicurezza, che sta anche diventando un gallina dalle uova d'oro.

Anonimo ha detto...

>I browser sono fatti per essere tolleranti nei confronti degli errori: codici HTML errati, script scritti male, eccetera.

E questo è un grosso errore (di chi fa i browser). I browser dovrebbero essere studiati per rispettare gli standard (CSS 2.0, XHTML...) non per aiutare chi vuol metter su un sito.

Salatti.NET

game ha detto...

Sono capitato su questo post casualmente a 10 mesi di distanza dalla sua scrittura.
Fortunatamente il pessimismo di Attivissimo sulle applicazioni web si è rivelato infondato :P