Recentemente sono state individuate alcune vulnerabilità tra le pagine dei Servizi di Google e FaceBook. Sono falle di tipo Open Redirect che permettono di effettuare un redirect senza necessità di manipolare stringhe o eseguire azioni particolari.

Open, infatti, sta ad indicare che il sito affetto da tale falla non effettua alcun controllo sull’input ed esegue il codice per cui è programmato sempre e comunque. Il vantaggio di poter sfruttare vulnerabilità come questa è quello di poter utilizzare url di domini di cui la gente non mette in dubbio la provenienza (Google appunto) per farli cliccare e redirettarli a siti di phishing o similari.

Immaginate l’utente medio che riceve un’email clone di Google che gli indica di cliccare  un  url del dominio “google.com” ed inserire i suoi dati per via di un qualche motivo plausibile. Quanti penserebbero che quell’url nasconda una minaccia?

In questo caso l’url affetto da tale vulnerabilità è appartenente al Servizio Google Accounts ed è il seguente:

https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.sitomalevolo.com

Allo stato attuale la falla è già stata risolta e provando un redirect verso capn3m0.org si ottiene un errore di “Bad Request”:

https://accounts.google.com/o/oauth2/auth?redirect_uri=www.capn3m0.org

Questa vulnerabilità è stata individuata da Ucha Gobejishvili aka longrifle0x che vanta solo nell’ultima settimana una serie di XSS in siti degni di nota: Google, Apple, Sony Ericcsson.

Sempre longrifle0x ha individuato una vulnerabilità XSS alla pagina delle Google App for Business. Per verificare la vulnerabilità è necessario andare all’url:

https://www.google.com/a/cpanel/premier/new3?hl=en

ed inserire nel campo “Domain” questo codice:

<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>

Qui il suo “curriculum”!

La seconda vulnerabilità, individuata da ZeRtOx del gruppo Devitel, riguarda FaceBook ed è sempre di tipo Open Redirect. Il codice è il seguente:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.sitomalevolo.com

e attualmente è ancora presente come dimostra il link che rediretta a capn3m0.org:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.capn3m0.org

Infine segnalo una terza vulnerabilità Open Redirect sempre per i Servizi di Google: Ad Services. I banner di Adsense sono associati ad un url fatto nel seguente modo:

http://www.googleadservices.com/pagead/aclk?
sa=L
&ai=BCN0tjMAhT9ijEq2Q0QXP1tm2BKGTn-sB4e7Th0fAjbcB8IQOEAEYASCZ0NoLOABQg7et0Pn_____AWD98vyD3BCgAYfM69oDsgEPd3d3LmNhcG4zbTAub3JnugEKMzM2eDI4MF9hc8gBBNoBUWh0dHA6Ly93d3cuY2FwbjNtMC5vcmcvZmlsZXNoYXJpbmctcG9zdC1tZWdhdXBsb2FkLWNoaXVzaS1maWxlc29uaWMtdXBsb2FkZWQuaHRtbIACAbgCGMgC4afaFKgDAfUDAAAgwPUDAAAAEIgGAaAGBA
&num=1
&cid=5GhoQFqmzEdFESSc_Vjf5Gxi
&sig=AOD64_2aoaqhlTxnKAENG806XtTTXpAjFw
&client=ca-pub-XXXXXXXXXXXXXXXX
&adurl=http://www.sitomalevolo.com

I parametri che riceve in input devono essere tutti corretti ad eccezione del campo adurl che invece viene valorizzato con il link verso cui vogliamo che rediretti.

Come potete immaginare trovare un link con tutti i dati corretti è molto semplice. Basta navigare tra i siti che mostrano banner di Google AdSense e copiarsi il link.

Quest’ultima falla l’ho trovata ispirato dalle due precedenti mentre scrivevo l’articolo. Se conoscete chi ne ha parlato prima di me segnalatemelo che provvederò a mettere l’autore.

Seguendo le news dell’ultima settimana circa il mondo di internet e dell’informatica le parole più ricorrenti che troviamo sono le due leggi SOPA e PIPA. La cosa che per ora è ben chiara a tutti è che sono quelle leggi che in Italia chiameremmo “leggi bavaglio” e che porteranno solo maggiore censura al popolo digitale.

Bene, questo è ciò che sanno tutti! Ma perché Anonymous e molti altri esponenti più o meno importanti e noti si sono schierati contro queste leggi? Perché WikiPedia e altri colossi della rete hanno scelto di protestare per 24 ore mantenendo oscurate le proprie pagine?

SOPA

SOPA è l ‘acronimo di Stop Online Piracy Act ed è un disegno di legge che è in discussione questi giorni al Congresso Americano. La finalità, a detta dei favorevoli, è quella di proteggere il copyright dei prodotti americani ma lo scenario che si presume appare più una grande privazione della libertà di espressione e una sorta di “censura fai-da-te” delegata direttamente alle parti “lese”. Ciò che più spaventa nei suoi contenuti è la parte in cui estende le responsabilità della violazione del diritto d’autore anche ai mezzi tramite i quali è possibile raggiungere contenuti protetti.

Se prima i responsabili e quindi penalmente e civilmente perseguibili erano coloro che ospitavano o utilizzavano a scopo di lucro materiale protetto da copyright, adesso anche chi permette di raggiungerlo diventa “complice”.

I mezzi a disposizione della “legge” per intervenire sono la modifica dei DNS per inibire l’accesso ai siti che distribuiscono il materiale protetto da copyright. Alcuni vorrebbero estendere questo potere anche ai Server DNS non Americani..

L’impatto sulla nostra vita digitale di tutti i giorni potrebbe vedere scomparire, o meglio, ridimensionarsi siti come YouTube, FaceBook o similari dove quotidianamente milioni di utenti diffondono materiale protetto da copyright. Oltre questo, conoscendo i metodi americani, la vita on line sarebbe molto più sorvegliata dato che al fine di scovare i malfattori attiveranno sistemi di monitoring dei pacchetti (e non solo) che sicuramente, in nome del diritto d’autore, violeranno la privacy di ogni singolo cittadino.

PIPA

PIPA è l ‘acronimo di Protect IP Act ed è sempre un disegno di legge che prevede, come dice il nome stesso, di proteggere gli indirizzi Ip. Nonostante utilizzi parole come “protezione” va specificato che si riferisce alla protezione delle grandi aziende e lobby americane. PIPA, infatti, protegge il materiale protetto da copyright inibendo l’accesso agli Ip, quindi a livello DNS, di chi permette di raggiungere o ospita tali materiali illegali.

PIPA nasce per colpire tutte le violazioni del diritto di autore che avvengono al di fuori dei confini americani e autorizza il Dipartimento di Giustizia Americano a mettere in atto tutte le contromisure tecniche per inibire l’accesso a tali contenuti.

Queste due proposte di legge hanno in comune la finalità di difendere i diritti – ossia i soldi – delle grandi Major Americane senza tenere in considerazione invece i diritti degli uomini come la libertà di espressione. Gli interessi dei grandi continuano a valere ancora troppo di fronte ai diritti dei piccoli. E’ per questo motivo e per tutte le possibili implicazioni e interpretazioni (ancora peggiori) che possono venir date a queste leggi che è giusto protestare ed opporsi.

Per ora la protesta dei grandi nomi del Web (la lista la trovate qui) e il Web messo a ferro e fuoco dagli hacktivisti di Anonymous han portato ad uno slittamento della data di discussione delle due leggi.

Oltre questo alcuni dei sostenitori han fatto un passo indietro e stan rivedendo la loro posizione al riguardo.

Continueremo a seguire questa vicenda che sta già mietendo le prime vittime illustri come MegaUpload, MegaVideo, Filesonic e  Uploaded.to.

Di seguito alcune slides esplicative dal sito American Censorhip.

We Are Legion – The Story Of The Hacktivists è il titolo del film documentario del regista Brian Knappenberger presentato in questi giorni allo Slamdance Film Festival.

Il film tramite interviste ai membri di Anonymous cerca di dare uno sguardo dall’interno a questa comunità cercando di chiarire cosa sia questo gruppo, perché agisce in tal modo e come ha ridefinito il concetto di “disobbedienza civile” nell’era digitale.

Proprio nelle ultime ore c’è un gran parlare dei membri di Anonymous dato che a seguito della chiusura di MegaUpload hanno avviato l’operazione Op Megaupload che sta portando al down e deface di centinaia di siti pro SOPA/PIPA.

Chi sono realmente?

Si tratta di persone indipendenti tra di loro ma unite da un unico obiettivo comune che è quello di manifestare il proprio dissenso verso leggi,fatti,progetti o similari che vanno contro gli interessi e/o i diritti dei singoli cittadini.

Cito quanto dichiarato da un membro di Anonymous in un’intervista del 2008:

Trailer del documentario sul gruppo Anonymous dal titolo “We Are Legion – The Story Of The Hacktivists” con sottotitoli in italiano.

Da vedere!

Dopo la chiusura di MegaUpload sono in molti a domandarsi quale sarà il futuro dei servizi di file sharing. Molti pensano che, come è sempre capitato con tutto ciò che riguarda Internet, ci sarà il “solito” periodo di quiete e poi nascerà il nuovo Servizio che rimpiazzerà il posto lasciato dai precedenti MegaUpload&co.

Nell’attesa della nascita del nuovo, però, continuiamo ad assistere alla caduta dei grandi. Infatti dopo MegaUpload da qualche ora anche FileSonic ha annunciato che lascia il settore del file sharing.

Come si può vedere dall’immagine allegata al momento è possibile utilizzare il servizio come hard disk virtuale per uploadare e scaricare i proprio files senza però dare la possibilità a terzi di accedervi e condividerli. A seguire FileSonic c’è stato Uploaded.to che sebbene non ha interroto il servizio di file sharing da qualche ora ha inibito l’accesso ai propri Servizi ai cittadini Americani.

Purtroppo nei prossimi giorni credo che vedremo altre “inversioni di tendenza” da parte dei grandi servizi di file sharing in cui verranno applicate regole più restrittive circa la possibilità di condividere file protetti da copyright sempre che, come si vocifera, non decidano proprio di chiudere i battenti.

Leggendo le carte emerge che per l’Fbi c’è differenza tra la situazione di MegaVideo/MegaUpload e tutti gli altri servizi analoghi in quanto MegaUpload incentivava, a detta loro, l’inserimento di contenuti ad alto traffico. Non credo però che questo basterà a far stare tranquilli tutti gli altri big.

Per Kim Dotcom, fondatore di MegaUpload, e tutti i membri dello staff si prospettano tempi molto duri. Le accuse più pesanti sono quelle di riciclaggio di denaro e violazione del diritto d’autore e si pensa che riceveranno non meno di 50-60 anni di carcere ciascuno.

Solitamente come per altri casi simili (Napster etc.) l’ultima parola prima di qualsiasi azione veniva detta in aula di tribunale. In questo caso la prassi è stata diversa e c’è stato un coordinamento tra l’Fbi americana e la polizia neozelandese. Mentre la prima oscurava il sito la seconda penetrava nella mega villa di Kim Dotcom e lo arrestava.

A seguire c’è stata la confisca dei beni la cui lista ha già fatto il giro del mondo visto che vi erano numerose auto di lusso (Cadillac, Rolls Royce, Mercedes,Lamborghini) e materiale tecnologico di ultima generazione come schermi piatti da 80 pollici o più.

Al video seguente le prime immagini dei membri arrestati.

Sebbene Kim Dotcom abbia annunciato che MegaUpload tornerà on line credo che ci vorrà molto tempo prima che riesca a liberarsi dalla morsa dell’Fbi.

Mentre tutto ciò accade, però, c’è anche una nota positiva. La chiusura di MegaUpload è stata la cosiddetta goccia che ha fatto traboccare il vaso e dal momento della chiusura è partito il più imponente attacco informatico mai realizzato verso i grandi produttori del cinema e della musica. Gli hacktivisti di Anonymous, infatti, hanno scatenato la “terza guerra mondiale” tecnologica che negli ultimi giorni ha visto cadere grandi siti del settore.

In Italia hanno avuto non pochi problemi il sito della Siae (siae.it), quello del Copyright (copyright.it) e della Lega Nord (leganord.org). Nel resto del Mondo tutti i nuclei di Anonymous stanno mettendo in difficoltà i siti sostenitori delle leggi SOPA e PIPA.

L’attacco è iniziato come sempre accordandosi su Twitter e da quel giorno continua a mietere vittime senza accennare a diminuire. Su Twitter cercando l’hashtag #OpMegaupload si potranno leggere un rincorrersi di tweet e retweet dove i vari gruppi dislocati per il Mondo comunicano il down o il deface di questo o quel sito.

Sicuramente siamo dinanzi ad un punto di svolta per l’intero settore della fruizione audio/video su Internet. L’azione verso MegaUpload è stata eclatante ma la reazione di Anonymous non è stata da meno.

Il braccio di ferro virtuale/digitale tra i grandi produttori e coloro che promuovono la libertà di scambio va avanti da giorni e per ora, solo facendo la conta di siti caduti, direi che l’ago della bilancia è e rimarrà a favore di Anonymous.

Come recita il loro slogan:

“We are Anonymous.  We are Legion.  We do not forgive.  We do not forget.  Expect us.”

Il vecchio detto “l’unione fa la forza” vale sempre e spero che, come sta succedendo al Congresso Americano dove qualcuno sta rivalutando il suo voto su SOPA/PIPA, anche le Major Cinematografiche e Discografiche decidano di rivedere il loro modo di affrontare la questione.

Penso che se c’erano milioni di persone pronte a pagare le cifre di MegaUpload per fruire di tutti i contenuti disponibili, le stesse persone sono pronte a pagare le Major o qualsiasi altro servizio legale (dove le major prendono i diritti e non rompono) purché si possa accedere a tutti i contenuti a prezzi ragionevoli.

Lo capiranno?