Punto informatico Network

Picture, immagine, quardo, immagini, bmp

L'immagine che ti ruba l'account

07/08/2008
- A cura di
Sicurezza - Le chiamano "GIFAR": sono un incrocio di GIF e archivi eseguibili JAR, sfruttabili per carpire le credenziali di accesso con... una semplice immagine.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

immagine (1) , account (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 216 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Tra le tante novità che potremo vedere alla Black Hat Security Conference di Las Vegas che si terrà la settimana prossima, alcuni ricercatori di NGSSoftware mostreranno come sia possibile carpire le credenziali di accesso dei più famosi servizi web (eBay, Google, Facebook) utilizzando una semplice immagine. Blackhat.jpg

Gli sviluppatori sono riusciti a creare un nuovo tipo di file ibrido che prende il nome di GIFAR, così chiamato in quanto è l'unione dei due formati: immagini GIF ed archivi eseguibili JAR.

Caricando questi file su siti web che permettono l'upload di immagini, è possibile carpire i dati d'accesso degli utenti registrati: i tradizionali meccanismi di validazione vengono infatti aggirati, poiché il server web riconosce il file caricato come normale immagine GIF.

Al contrario, nel momento in cui l'utente apre la pagina web che ospita il file malformato, il browser web identifica GIFAR come applet Java, e ne permette l'esecuzione tramite la Java Virtual Machine nello stesso contesto del sito web corrente, autorizzando così l'accesso a cookie e possibilmente altre informazioni di autenticazione relative alla pagina in questione.

Proprio per questo, perché l'attacco sia efficace, è necessario che l'utente-vittima abbia eseguito log-in al sito web che ospita il file GIFAR.

Il blog di Zdnet afferma che le combinazioni di formati per creare una GIFAR sono due, oltre a quello già visto. Infatti, anche le immagini JPG e i documenti DOC possono essere alterati per nascondere applet Java.

La soluzione di fondo sarebbe a carico delle singole applicazioni web, che dovrebbero accertarsi di verificare il corretto formato dei file caricati procedendo al parsing completo delle immagini caricate.

Ad ogni modo, sebbene non sia strettamente un problema di Java, Sun rilascerà probabilmente una versione aggiornata Java Virtual Machine in grado di rilevare la manomissione e prevenire l'esecuzione del codice malevolo.

Nel frattempo, alla conferenza di sicurezza di Las Vegas, alcuni passaggi necessari per creare i file GIFAR saranno omessi, proprio per evitare il proliferare di attacchi di questo tipo su larga scala durante l'attesa di una soluzione.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.35 sec.
    •  | Utenti conn.: 128
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.13