Breccia in Passport, utenti a rischio

Scoperta da uno sviluppatore open source, Microsoft ammette l'esistenza di una seria vulnerabilità di Passport che minaccia la sicurezza degli utenti. Ecco di che si tratta.

Un pass per i cracker

05/11/2001, Redmond (USA) - Con un certo imbarazzo, Microsoft ha dovuto ammettere che il proprio sistemone di autenticazione centralizzato, Passport (N.d.R.: Passport è il profilo per accedere oltre che agli acquisti on-line e altri servizi Microsoft anche ai servizi di chat di MSN, che va compilato all'atto dell'iscrizione obbligatoria), soffre di una vulnerabilità che può compromettere la privacy e la sicurezza degli iscritti al servizio.

Ad essere a rischio sarebbe in particolare la funzionalità Wallet, un servizio che dovrebbe consentire agli iscritti Passport di effettuare acquisti sui siti Web convenzionati in modo più rapido e... sicuro.

Il colosso di Redmond ha ammesso il problema dopo che un noto sviluppatore open source, Marc Slemko, ha dimostrato come, attraverso una semplice e-mail, sia possibile ingannare il sistema di autenticazione di Microsoft e rubare dati sensibili come il numero di carta di credito di un utente.

A dimostrazione della serietà del problema, lo scorso martedì Microsoft ha temporaneamente sospeso il servizio ''Express Purchase'' affiliato con Passport Wallet e supportato da circa una settantina di siti di e-commerce, rendendo poi ufficiale la vulnerabilità il venerdì successivo.

Nonostante abbia ammesso la serietà del problema, Microsoft ha cercato di tranquillizzare i propri utenti affermando che, ad oggi, non vi è prova di nessun furto di dati avvenuto sfruttando la vulnerabilità segnalata da Slemko. Microsoft sostiene inoltre che, grazie all'utilizzo di sistemi di protezione più efficaci, Windows XP è immune dal problema.

Slemko, in un documento pubblicato sul proprio sito, spiega che il problema di sicurezza che affligge Passport consiste nella combinazione di più vulnerabilità presenti nel sistema, fra cui alcune falle di tipo "cross-scripting" e l'ennesima debolezza contenuta nei filtri HTML di Hotmail: sfruttando questi buchi, e tenendo conto del fatto che una volta fatto il login su Hotmail è possibile, per 15 minuti, accedere a qualsiasi altro servizio di Passport senza la necessità di autenticarsi nuovamente, Slemko ha dimostrato che è possibile confezionare un'e-mail che, una volta letta con Hotmail, è in grado di inviare all'assalitore le informazioni necessarie(contenute all'interno di cookie) perché questi possa accedere, entro 15 minuti, all'account Passport del malcapitato di turno.

Occhio al portafogli

Nonostante Microsoft sostenga che per sfruttare la falla occorra possedere conoscenze tecniche fuori dal comune, Slemko ribatte dichiarando di aver messo in atto il primo metodo per sfruttare la debolezza in circa mezz'ora di lavoro.

"È evidente che o Microsoft non ha sufficienti risorse da dedicare ai test di sicurezza dei propri servizi e del proprio software, oppure è al corrente di queste debolezze ma ha deciso che cercare di guadagnare quote di mercato sia più importante della sicurezza dei propri utenti", ha scritto Slemko.

Dure critiche al sistema Passport sono state lanciate, nel recente passato, anche dal gruppo di sviluppatori di DotGNU, un progetto open source per lo sviluppo di una tecnologia che possa rimpiazzare il servizio di autenticazione di Microsoft.

"Il sistema Passport - dichiarò in un'intervista David Sugar, CTO di FreeDevelopers- non offre vantaggi tecnologici, ed è una tecnologia molto più povera di quella di cui si dispone attualmente, come l'autenticazione distribuita e i sistemi di archiviazione dei dati. Il sistema Microsoft Passport è eticamente e moralmente sbagliato. Con questo sistema, Microsoft nella pratica dice: "Fidatevi, vi tengo il portafogli e quando dovete acquistare qualcosa, ve lo restituisco"".

Passport è un servizio chiave della strategia.NET perché è attraverso di esso che Microsoft conta di assegnare ad ogni utente della Rete una singola identità necessaria per accedere ad ogni attività on-line. Passport, già profondamente integrato nel nuovo Windows XP, sarà infatti la porta di accesso ai servizi Web che Microsoft si appresta a lanciare con.NET My Services.

Ringraziamo la rivista telematica Punto Informatico per averci concesso la riproduzione di questo articolo, del quale è vietata ogni ulteriore riproduzione senza previa autorizzazione dei legittimi proprietari.

Disclaimer