Ezekiel Blog

[an error occurred while processing this directive]  

28.7.05

che ne sarà di noi: il mestiere di mettersi in mostra oggi si impara da piccoli

Stamattina leggo sulla prima pagina di repubblica.it una notizia curiosa e apparentemente interessante.
Un "giovane programmatore" italiano avrebbe scoperto una falla in Google AdSense che potrebbe permettere il phishing, una truffa telematica molto diffusa che ha in genere lo scopo di acquisire dati sensibili o meglio il numero di carta di credito di qualcuno (recentemente c'è stato il caso di Unicredit).
Questo sarebbe il caso del servizio di Google che ha a che fare proprio con pagamenti online.
Di solito non leggo queste notizie perchè ricevo gli approfondimenti dai magazine di settore che riescono ad essere un pò più dettagliati dal punto di vista tecnico.
Ma non mi meraviglio molto visto che ogni giorno si scoprono decine di casi di questo tipo.
Poi però noto che la notizia non è riportata da altre parti.
Inoltre la forma utilizzata nel titolo mi insospettisce un pò: per fortuna la comunicazione non si vende un tanto al chilo al mercato e si può capire molto da come è espresso uno stesso concetto.
Il titolo dell'articolo, di Alessio Balbi, recita (ora è cambiato così): un quindicenne italiano scopre falla di Google AdSense vulnerabile al "phishing"

Dunque il soggetto non è Google, che usano milioni di persone e che in presenza di problemi seri vale la pena segnalare in prima pagina accanto solo a Berlusconi che straparla come al solito, la nuova Fiat Punto e le intercettazioni di Fazio, bensì questo fantomatico "giovanissimo programmatore".
Addirittura.
Allora leggo l'articolo.
Ma, meglio ancora, guardo l'animazione collegata che è stata prontamente duplicata dal sito del ragazzo al server di repubblica.it.
In questa, preceduta da un vero e proprio titolo di testa con tanto di link al sito di Salvatore Aranzulla - questo è il nome del quindicenne oggetto dell'articolo con tanto di link al suo sito personale - viene mostrata un "video" che spiega come sia possibile sfruttare una tale vulnerabilità per tentare di ingannare qualcuno.
E qui, devo dire, mi cadono le braccia.

Questa tanto proclamata falla di Google è la presenza in chiaro, nella barra dell'indirizzo, della variabile destination che indirizza il browser dell'utente alla pagina richiesta di solito prima del login al servizio AdSense; ovviamente conoscendo l'esistenza di tale variabile qualunque malintenzionato potrebbe reindirizzare l'utente su una pagina a piacimento (per es. una ad hoc in cui far inserire dati sensibili) passando per quella "ufficiale".
Si tratta di una leggerezza dei tecnici di Google, una distrazione che potrebbe portare spiacevoli conseguenze a qualcuno anche lui molto ma molto distratto ma nulla di così drammatico.

Infatti quello che accadrebbe in caso di truffa, come è persino documentato nella demo di Salvatore che quindi si risponde quasi da solo, è che il proprio browser (soprattutto IE) avvertirebbe chiaramente l'utente con finestrelle "minacciose" che innanzitutto si sta passando a un sito con un certificato non attendibile (e quindi qualcuno potrebbe stare barando) e poi con un errore di sicurezza che non lascia proprio spazio a interpretazioni.
Un utente che proseguisse e inserisse i dati della propria carta di credito sarebbe come il classico turista che gira col portafogli in mano: praticamente se l'è cercata.
E questo basta a ridimensionare la gravità da prima pagina di un quotidiano nazionale della "falla", che in effetti non è segnalata in alcuno sito tecnico autorevole, benchè Google stessa abbia risposto alla email di Salvatore riconoscendo il problema (la cui analisi non necessita certamente di conoscenze approfondite di programmazione) e promettendo ovviamente una soluzione come si farebbe con un qualsiasi malfunzionamento.

Piuttosto il vero problema all'origine è un altro.
Il fatto che se si accede a www.google.it/adsense si ottiene, la prima volta, un errore di sicurezza dovuto al fatto che si rileva una differenza tra il dominio del certificato (.com) e quello del sito da visitare (.it) che è simile a quello che comparirebbe in caso di truffa.
E' questo che devierebbe un utente distratto portandolo a pensare che una seconda volta non ci sia nulla di strano (e invece c'è, eccome).
E se proprio vogliamo essere esaustivi un altro problema determinante è l'usabilità delle finestre di errore di sicurezza in windows/IE che spesso invitano l'utente a non leggere e cliccare.
Raramente la colpa è davvero degli utenti.
Ma il discorso sarebbe lungo.

Alla fine l'impressione che rimane è quello di un quindicenne siciliano messo arbitrariamente in prima pagina di Repubblica per una questione del genere, interessante forse per qualche comunità di smanettoni alle prime armi ma non certo di interesse nazionale.
Praticamente una sorta di spamming.
Nel 2000 si impara da piccoli a diventare personaggio da prima pagina prima di tutto il resto.
Salvatò, ma alla tua età, co sto caldo, che ce fai a casa davanti a google: vai e divertiti, al mare, coi tuoi amici, rimorchia, bevi, fuma, tuffati nelle piscine degli sconosciuti gridando "hyppie di merda!".