Ieri Fineco ha finito di risolvere tutte le vulnerabilità da me segnalate. Devo dire che il team ha svolto un buon lavoro anche in tempi relativamente brevi dalla data di pubblicazione.

Ho avuto la possibilità di parlare con alcuni esperti del Fineco Network Staff che, oltre a ringraziarmi, mi hanno rassicurato che tutte le vulnerabilità sono state risolte e che i clienti posso sentirsi completamente sicuri.

Ora posso ritenermi soddisfatto.

Come promesso pubblico i dettagli.

Gli indirizzi grazie ai quali si poteva eseguire codice javascript sono i seguenti:

http://online.fineco.it/public/investor/spotT.asp?path=codice-javascript

http://online.fineco.it/public/banking/demoServizi.asp?tab=codice-javascript

Mentre il redirect avveniva tramite questo url:

http://adserver.fineco.it/adserver/adclick.php?bannerid=0&dest=url-di-destinazione

Per aver la conferma di quanto pubblicato ho girato un breve video con alcuni esempi a scopo dimostrativo.

Ora sto iniziando a verificare la sicurezza di altre banche, in particolare di BNL che non ha ancora risolto le vulnerabilità segnalate lo scorso anno da me e Vincenzo.

Preambolo

Per motivi di sicurezza non avrei voluto pubblicare questo articolo, ho provato in tutti i modi a contattare Fineco: via telefono passando di centralino in centralino, rivolgendomi a Capitalia, gruppo che fa capo a Fineco, inviado decine di email, ma dopo due settimane senza aver ottenuto alcuna risposta, l’unico modo che ho per attirare l’attenzione dei responsabili del portale è scrivere su questo blog nella speranza che qualcuno ne venga a conoscenza.

Due vunlerabilità XSS

Sul sito Fineco.it ho riscontrato due vulnerabilità di tipo Cross Site Scripting (XSS) che permettono di eseguire codice javascript all’interno delle pagine.
Tramite un XSS si possono confezionare truffe online talmente credibili da non sembrare tali, un esempio lo potete osservare nell’immagine.

Con la scusa di indirizzare ad una pagina sicura del server Fineco, un malintenzionato potrebbe tranquillamente guadagnarsi la fiducia dell’utente per poi fargli eseguire il login su pagina esterna e carpirgli i dati sensibili.

Solitamente gli attachi phishing avvengono tramite l’invio di email nelle quali si invita a cliccare su un link che porta la vittima ad effettuare il login su un sito truffa. Ormai i più prudenti si accorgono che il collegamento in realtà non porta alla loro banca, ma in questo caso anche un utente particolarmente attento potrebbe diventare una potenziale vittima per il semplice fatto che il link punta veramente al sito della sua banca, ma successivamente avviene un reindirizzamento ad una pagina esterna.

Redirect con l’AdServer

Un’altra vulnerabilità risiede su un adserver, ovvero un server creato con il solo scopo di gestire i banner pubblicitari. In questo caso non viene effettuato nessun controllo sulla variabile path di destinazione del banner, pertanto sostituendo il percorso di destinazione con un indirizzo esterno viene portato a compimento un redirect.

Misure cauletative

Finchè Fineco non risolverà le vulnerabilità, per motivi di sicurezza non ritengo opportuno pubblicare nessuno dei possibili exploit, successivamente renderò noti dettagli e documentazione.

Come posso proteggermi da simili attacchi?

La prudenza è d’obbligo ma a volte non basta. Il mio consiglio è di installare la toolbar Netcraft in grado di rilevare gli attacchi XSS, verificare l’autenticità di un sito internet e segnalarvi immediatamente siti fraudolenti.

UPDATE: FINECO HA CORRETTO TUTTE LE VULNERABILITA’

A distanza di una settimana dalla scoperta di un bug sul sito di American Express, la coppia Giuliani-Ampolo si è di nuovo messa al lavoro individuando nuove vulnerabilità su otto siti web di importanti Istituti di Credito italiani.

I bug sono di tipo XSS (Cross site scripting) che è una tipologia di vulnerabilità comune e altrettanto pericolosa. In pratica, il codice html/javascript che viene passato all’url viene eseguito nella pagina.

Per quanto riguarda Unicredit Banca, Banca di Roma e BPM la stessa vulnerabilità affligge il servizio Informadove, un servizio web che supporta le banche fornendo mappe topografiche e sistemi di ricerca filiale. Il caso di Credem è singolare perchè il servizio ricerca filiale risulta vulnerabile ma non si avvale dei servizi di Informadove.
Il modo più semplice e efficace per sfruttare queste vulnerabilità potrebbe essere quello di eseguire un redirect verso un sito truffa in modo da indurre l’utente ad eseguire il login e fornire al truffatore i dati di accesso al servizio di online-banking. Ma dato che si può far leggere al browser qualsiasi codice html/javascript si potrebbe cercare tra i cookies informazioni sensibili e password. Di seguito vengono mostrati degli esempi che eseguono un semplice javascript che scrive sullo schermo This is the Bug e che redirigono a google.it.

• Rasbank

• Fineco

• Bnl

• Unipol Banca

• Credem

• Banca di Roma

• Unicredit Banca

• Banca popolare di Milano

E’ già stato inviato un advisory per ogni istituto di credito coinvolto. Potete inoltre leggere l’articolo completo in inglese su Nanofreesoft

Qualche giorno fa mi sono accorto che American Express ha provveduto a risolvere il problema di sicurezza che io e Vincenzo abbiamo segnalato la settimana scorsa.

La vicenda si è risolta in modo positivo, senza mietere vittime.

Nel frattempo nel pentolone bolle qualcosa di nuovo, ma per il momento non posso anticiparvi nulla!

La sicurezza dei siti web è un prerogativa per tutti quei siti bancari e molto frequentati. Tuttavia non sempre questi siti sono completamente sicuri. A volte succede che per errore, o per distrazione dei programmatori, interi sistemi informatici che dovrebbero essere protetti possano essere utilizzati da dei truffatori.

In questi giorni ho scoperto una vulnerabilità sul sito della nota compagnia American Express, che, come molti sanno gestisce varie tipologie di carte di credito.

In un server di American Express risiede uno script jsp che permette il redirect ad una pagina anche esterna al dominio di americanexpress.com. In pratica un url di questo tipo:

http://www109.americanexpress.com/rightp/intl_ads_redirect.jsp?location=http://www.andreagiuliani.com
In questo caso vi apparirà la pagina principale di questo blog. Ovviamente funziona alla stesssa maniera anche un url codificato come il seguente:
http://www109.americanexpress.com/rightp/intl_ads_redirect.jsp?location=%68%74%74%70%3A%2F%2F%77%77%77%2E%61%6E%64%72%65%61%67%69%75%6C%69%61%6E%69%2E%63%6F%6
In questo modo è più difficile da interpretare, sopratutto per un occhio poco esperto.
Questa vulnerabilità potrebbe essere sfruttata da dei truffatori che creando una copia del sito originale di American Express e spedendo delle mail con il collegamento malevolo potrebbero convincere alcune persone a cliccare sul link e quindi venire reindirizzati nel sito truffa. Se la vittima eseguisse il login il truffatore avrebbe tutti i dati per la gestione remota di una carta American Express.

Questo post è stato scritto grazie all’aiuto di Vincenzo Ampolo che mi ha fornito informazioni tecniche, supporto, e si è occupato del security advisory che è stato prontamente spedito all’American Express. Su suo blog troverete pubblicato lo stesso articolo.