Internet è pieno di pericoli: i dati sensibili possono essere trapelati, i siti Web dannosi possono consentire agli hacker di accedere ai computer privati. L’Unità di ricerca Security & Privacy della TU Wien in collaborazione con l’Università Ca’ Foscari ha ora scoperto una nuova importante vulnerabilità di sicurezza che è stata finora trascurata. I siti web di grandi dimensioni hanno spesso molti sottodomini, ad esempio “sub.example.com” potrebbe essere un sottodominio del sito web “example.com”. Con alcuni trucchi è possibile prendere il controllo di tali sottodomini. E se ciò accade, si aprono nuove falle di sicurezza che mettono a rischio anche le persone che vogliono semplicemente utilizzare il sito Web reale (in questo esempio, example.com).
Il team di ricerca ha studiato queste vulnerabilità e ha anche analizzato quanto sia diffuso il problema: sono stati esaminati 50.000 dei siti Web più importanti del mondo e sono stati scoperti 1.520 sottodomini vulnerabili. Il team è stato invitato al 30° USENIX Security Symposium, una delle più prestigiose conferenze scientifiche nel campo della cybersecurity. I risultati sono stati ora pubblicati online.
Record penzolanti
“A prima vista, il problema non sembra così grave”, afferma Marco Squarcina dell’Istituto di logica e calcolo della TU Vienna. “Dopotutto, potresti pensare di poter accedere a un sottodominio solo se sei esplicitamente autorizzato dall’amministratore del sito Web, ma è un errore.”
Questo perché spesso un sottodominio punta a un altro sito Web che è fisicamente archiviato su server completamente diversi. Forse possiedi il sito web example.com e vuoi aggiungere un blog. Non vuoi crearlo da zero, ma invece utilizzare un servizio di blog esistente di un altro sito web. Pertanto, un sottodominio, come blog.example.com, è connesso a un altro sito. “Se usi la pagina example.com e fai clic sul blog lì, non noterai nulla di sospetto”, afferma Marco Squarcina. “La barra degli indirizzi del browser mostra il sottodominio corretto blog.example.com, ma i dati ora provengono da un server completamente diverso.”
Ma cosa succede se un giorno questo link non è più valido? Forse il blog non serve più o viene rilanciato altrove. Quindi il collegamento da blog.example.com punta a una pagina esterna che non è più presente. In questo caso, si parla di “record penzolanti”, ovvero punti in sospeso nella rete del sito Web che sono punti ideali di attacco.
“Se tali record sospesi non vengono prontamente rimossi, gli aggressori possono creare la propria pagina lì, che verrà quindi visualizzata su sub.example.com”, afferma Mauro Tempesta (anche TU Wien).
Questo è un problema perché i siti Web applicano regole di sicurezza diverse a diverse aree di Internet. I loro sottodomini sono generalmente considerati “sicuri”, anche se in realtà sono controllati dall’esterno. Ad esempio, i cookie depositati sugli utenti dal sito principale possono essere sovrascritti e potenzialmente accessibili da eventuali sottodomini: nel peggiore dei casi, un intruso può quindi impersonare un altro utente e compiere per suo conto azioni illecite.
Problema allarmante comune
Il team composto da Marco Squarcina, Mauro Tempesta, Lorenzo Veronese, Matteo Maffei (TU Wien) e Stefano Calzavara (Ca’ Foscari) ha studiato quanto sia comune questo problema. “Abbiamo esaminato 50.000 dei siti più visitati al mondo, scoprendo 26 milioni di sottodomini”, afferma Marco Squarcina. “Su 887 di questi siti abbiamo trovato vulnerabilità, su un totale di 1.520 sottodomini vulnerabili”. Tra i siti vulnerabili c’erano alcuni dei siti Web più famosi in assoluto, come cnn.com o harvard.edu. I siti universitari hanno maggiori probabilità di essere interessati perché di solito hanno un numero particolarmente elevato di sottodomini.
“Abbiamo contattato tutte le persone responsabili dei siti vulnerabili. Tuttavia, 6 mesi dopo, il problema è stato ancora risolto solo sul 15% di questi sottodomini”, afferma Marco Squarcina. “In linea di principio, non sarebbe difficile correggere queste vulnerabilità. Speriamo che con il nostro lavoro possiamo creare maggiore consapevolezza su questa minaccia alla sicurezza “.