A distanza di una settimana dalla scoperta di un bug sul sito di American Express, la coppia Giuliani-Ampolo si è di nuovo messa al lavoro individuando nuove vulnerabilità su otto siti web di importanti Istituti di Credito italiani.

I bug sono di tipo XSS (Cross site scripting) che è una tipologia di vulnerabilità comune e altrettanto pericolosa. In pratica, il codice html/javascript che viene passato all’url viene eseguito nella pagina.

Per quanto riguarda Unicredit Banca, Banca di Roma e BPM la stessa vulnerabilità affligge il servizio Informadove, un servizio web che supporta le banche fornendo mappe topografiche e sistemi di ricerca filiale. Il caso di Credem è singolare perchè il servizio ricerca filiale risulta vulnerabile ma non si avvale dei servizi di Informadove.
Il modo più semplice e efficace per sfruttare queste vulnerabilità potrebbe essere quello di eseguire un redirect verso un sito truffa in modo da indurre l’utente ad eseguire il login e fornire al truffatore i dati di accesso al servizio di online-banking. Ma dato che si può far leggere al browser qualsiasi codice html/javascript si potrebbe cercare tra i cookies informazioni sensibili e password. Di seguito vengono mostrati degli esempi che eseguono un semplice javascript che scrive sullo schermo This is the Bug e che redirigono a google.it.

• Rasbank

• Fineco

• Bnl

• Unipol Banca

• Credem

• Banca di Roma

• Unicredit Banca

• Banca popolare di Milano

E’ già stato inviato un advisory per ogni istituto di credito coinvolto. Potete inoltre leggere l’articolo completo in inglese su Nanofreesoft

Qualche giorno fa mi sono accorto che American Express ha provveduto a risolvere il problema di sicurezza che io e Vincenzo abbiamo segnalato la settimana scorsa.

La vicenda si è risolta in modo positivo, senza mietere vittime.

Nel frattempo nel pentolone bolle qualcosa di nuovo, ma per il momento non posso anticiparvi nulla!

Gecko è il motore di rendering di Firefox, a inizio settimana è stato rilasciato Gecko 1.9 alpha 1. La versione definitiva verrà implementata in Firefox 3.
Proprio ieri Mozilla ha reso disponibile Gran Paradiso, che non è altro che Firefox 2.0 con la nuova versione alpha di Gecko. Molti siti hanno erroneamente annunciato l’uscita della prima alpha di Firefox 3.0.

Tra le features più interessanti troviamo l’utlizzo delle librerie grafiche Cairo, Cocoa Widgets per Mac e un miglior supporto per SVG.

Ho effettuato qualche test sulla velocità di esecuzione degli Javascript: rispetto a Firefox 2.0 che utilizza Gecko 1.8.1, in effetti ho riscontrato qualche miglioramento, ma non è sufficiente per competere con la velocità spaventosa di Opera. Naturalmente Internet Explorer non lo considero nemmeno!
I test sono stati effettuati tramite questo Javascript Speed Test, ecco i risultati su tre prove effettuate:

Firefox 2.0     Firefox Gran Paradiso     Opera 9.02
1453             1172                                406
1485             1234                                406
1531             1235                                406

Link: Gran Paradiso e Gecko 1.9 features

E’ già da qualche settimana che ho in mente di cambiare il template, così ho approfittato di questi due giorni di vacanza.

L’autore è sempre lui, Fredrik Fahlstad, il tema si chiama fUnique. Il tre colonne mi permette di avere più spazio a disposizione, anche perchè non mi piace tenere tutto appiccicato; per il momento è ancora un pò spoglio. Tempo al tempo

Anche se in questo periodo ne ho davvero poco!

La sicurezza dei siti web è un prerogativa per tutti quei siti bancari e molto frequentati. Tuttavia non sempre questi siti sono completamente sicuri. A volte succede che per errore, o per distrazione dei programmatori, interi sistemi informatici che dovrebbero essere protetti possano essere utilizzati da dei truffatori.

In questi giorni ho scoperto una vulnerabilità sul sito della nota compagnia American Express, che, come molti sanno gestisce varie tipologie di carte di credito.

In un server di American Express risiede uno script jsp che permette il redirect ad una pagina anche esterna al dominio di americanexpress.com. In pratica un url di questo tipo:

http://www109.americanexpress.com/rightp/intl_ads_redirect.jsp?location=http://www.andreagiuliani.com
In questo caso vi apparirà la pagina principale di questo blog. Ovviamente funziona alla stesssa maniera anche un url codificato come il seguente:
http://www109.americanexpress.com/rightp/intl_ads_redirect.jsp?location=%68%74%74%70%3A%2F%2F%77%77%77%2E%61%6E%64%72%65%61%67%69%75%6C%69%61%6E%69%2E%63%6F%6
In questo modo è più difficile da interpretare, sopratutto per un occhio poco esperto.
Questa vulnerabilità potrebbe essere sfruttata da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo potrebbero convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Se la vittima eseguisse il login il truffatore avrebbe tutti i dati per la gestione remota di una carta American Express.

Questo post è stato scritto grazie all’aiuto di Vincenzo Ampolo che mi ha fornito informazioni tecniche, supporto, e si è occupato del security advisory che è stato prontamente spedito all’American Express. Su suo blog troverete pubblicato lo stesso articolo.