Che Smacco!

Questa mattina,il buon RoBo mi ha inviato un articolo molto interessante, che posto qui di seguito. La fonte è "Punto Informatico.it" (clicca qui per leggere l'articolo sul sito di riferimento).

Roma - Alcuni esperti di sicurezza ne avevano avuto conferma già da alcune settimane, ma ora la questione di una vulnerabilità che affligge uno dei siti del network di Banca Fideuram è diventata di dominio pubblico con la pubblicazione da parte di Spamhaus, la celebre organizzazione per la sicurezza, di un advisory dedicato.
In particolare, spiega Spamhaus, sul sito fideuramonline.it una specifica vulnerabilità consente a criminali informatici di farci girare sopra uno script, in grado in certe condizioni di ridirigere gli utenti sul sito gestito dagli aggressori e non certo della Banca, un sito ospitato su server taiwanesi."Questa - spiega Spamhaus - è una situazione di estremo pericolo. Gli utenti possono facilmente essere ingannati ed indotti a inserire i propri dati di conto, in quanto le URL che appaiono sembrano, e lo sono proprio, URL reali della banca. Fideuram dovrebbe sistemare questa situazione con estrema urgenza".
Sulla celeberrima mailing list italiana dedicata alla sicurezza informatica, Sikurezza.org, esperti del calibro di Marco d'Itri scrivono di aver segnalato alla Banca il problema ormai da lungo tempo, fin qui senza ottenere risposta, e spiegano: "In pratica il sito ha una funzione accessibile pubblicamente per inserire HTML arbitrario all'interno delle sue pagine HTTPS, XSS by design. Chiunque abbia minime conoscenze di programmazione può intuire come funziona guardando l'URL..."
Il problema, come rilevava Spamhaus, è che "questa vulnerabilità viene attivamente sfruttata dalla solita banda di phisher HELO User per inserire un iframe che punta al loro sito e permette di raccogliere i dati inseriti dai clienti, che ragionevolmente non si aspettano che il sito della propria banca correttamente verificato con SSL in realtà invii i dati inseriti a un server taiwanese".
Il sito taiwanese è ancora attivo e, come si può rilevare dall'immagine qui sopra, "mima" in tutto e per tutto il sito fideuramonline.it. E, aggiunge Gabriele P. a Punto Informatico: "Non si tratta del "solito" phishing facilmente riconoscibile dalla URL utilizzata, perché questa volta viene effettivamente mostrato e caricato l'indirizzo della banca (con tanto di certificato SSL); però, tramite lo sfruttamento di una parte del codice normalmente usato per il login dei clienti, viene caricato un iframe all'interno del sito legittimo, presentando un form che invia i dati personali ad un server all'estero (Taiwan). Per cui un utilizzatore poco accorto verrebbe facilmente ingannato, nonostante la possibile segnalazione del browser che la pagina non è completamente protetta. Per fortuna la e-mail di phishing è grossolana nel linguaggio usato, ma se fosse stata scritta più correttamente, sarebbe diventata il phishing bancario "migliore" tra tutti quelli che ho visto fin'ora".
Un'analisi approfondita del problema è stata pubblicata anche da CastleCops.Vista la gravità della questione, ieri Punto Informatico ha contattato direttamente la Banca. L'Istituto ha spiegato di essere al corrente del problema e ha assicurato che i propri esperti sono al lavoro per risolverlo nel più breve tempo possibile."

Notevole,invero.Per fortuna, "gli esperti" citati dall'autore nell'articolo, non siamo ne io ne quelli del mio gruppo - una volta tanto. Per ora,a quanti passano di qua,posso solo suggerire di porre massima attenzione, nella navigazione sui siti di riferimento nell'articolo succitato.

E alla via così. Mentre il mal di schiena continua ad ossessionarmi, vi ricordo che, per quanti ne avranno la possibilità o per chi risiede in zona,nei giorni 12 e 13 Gennaio, nel Comune di Martano (LE), si terrà la due giorni di conferenze ufologiche sul tema : "Gli UFO tra verità oggettive e dimensione umana", patrocinato dal Centro Ufologico Nazionale. Per tutti i dettagli, vi invito a leggere il comunicato sul sito del CUN, cliccando qui.

Right,anche per oggi è tutto. Vi do appuntamento alla prossima volta e vi lascio con un aforisma di Seneca : "Proprio come sceglierò la mia nave quando mi accingerò ad un viaggio, o la mia casa quando intenderò prendere una residenza, così sceglierò la mia morte quando mi accingerò ad abbandonare la vita".

Ale