giovedì 1 dicembre 2011

Grave vulnerabilità e-mail su Facebook permette di rubare l'identità


Un giovane operaio edile della regione di León, in Spagna, ha detto nel suo blog di aver scoperto una grave falla di sicurezza nel sistema di posta elettronica di Facebook che permette conoscendo poco e molto semplicemente, di inviare messaggi a tutti gli utenti della Rete per conto di altri. L'Istituto Nazionale delle Tecnologie della Comunicazione (Inteco) ha appreso della falla di sicurezza che permette di assumere l'identità di molte persone sul social network da oltre 400 milioni di utenti, nelle notizie che sono state fornite ,artedì scorso su El Mundo León attraverso il suo scopritore Alfredo Arias, noto come Minipunk.

"E' un errore molto grave che chiunque possa impersonare la maggior parte delle persone che sono su Facebook", ha dichiarato Arias, un operaio edile spagnolo che vive da più di vent'anni a León e che ha fatto del social networking il suo modo di vivere. E le più vulnerabili sono le aziende, dice Minipuk, spegando che "questo pasticcio è fatto attraverso lo spoofing, una tecnica che consente di modificare il mittente di una e-mail. Lo spoofing è considerato crimine dal Codice Penale (art. 494 - sostituzione di persona) e dalla Legge sulla protezione dei dati personali.

In cosa consiste la vulnerabilità?
La tecnica è quella di creare un modulo online (tramite un servizio gratuito) e da lì inviare una mail ad un utente su Facebook. Nella casella del mittente, scrivere il nome dell'utente di Facebook che si vuole impersonare. Nella casella di posta del destinatario verrà inviato un nuovo messaggio privato, ma scritto come se provenisse dal proprietario. Questo, come dimostra il post del muratore sul suo blog (el-internauta-de-leon.blogspot.com), renderebbe il sistema di posta di Facebook vulnerabile senza alcun problema, che costituisce chiaramente una violazione della sicurezza. 

Alfredo Arias, ha riferito dell'accaduto a un giornalista del quotidiano spagnolo El Mundo, inviando come prova una e-mail su Facebook a nome del suo capo. Marcos Gomez, vicedirettore dei programmi Inteco, ha ammesso di aver sentito al riguardo il giovane Sabato scorso, dopo aver ricevuto un avviso da Minipunk, e ha risposto personalmente per ringraziare e spiegare, dopo un'indagine, che "non è una vulnerabilità, ma un problema di configurazione relativo alla funzionalità della e-mail di Facebook, che deve essere attivato manualmente e che non interessa tutti gli utenti".


Come funziona la vulnerabilità?
Gli account di Facebook hanno la propria e-mail attiva come nomeutente@facebook.com e ricavabile dal profilo (per coloro che hanno impostato un nome utente). Inserendo i dati ricavati dal profilo in un modulo creato appositamente su una qualsiasi pagina Web, è possibile inviare il messaggio a nome dell'utente vittima. Inteco che mantiene una partnership con il social network, che conta 800 milioni di utenti in tutto il mondo, ha avvisato Lunedì Facebook in Spagna di questo "potenziale problema", dopo altre fonti contrastanti e annunci in Rete. 

Così, Facebook ha dichiarato "che si tratta di una tecnica usata per impersonare lo spoofing di posta di un terzo (tecnica di phishing via Internet)", sottolineando che "dal momento che questo tipo di rappresentazione è funzionale a qualsiasi servizio, non considera questa vulnerabilità specifica di Facebook, ma si può semplicemente fare uso di essa, perché Facebook ha implementato la funzionalità di posta elettronica", ha spiegato Gomez. "Se si seleziona la e-mail da Facebook si può avere quel problema, ma non tutti hanno questa funzionalità attiva", ha osservato Gomez. Sul suo blog Arias spiega passo passo come far funzionare la tecnica.


Arias ha detto di aver scritto a Mark Zuckerberg ma nessuna risposta e nessuna soluzione è stata fornita per tappare la presunta falla di sicurezza. Per mitigare l'impatto di questa problema, Inteco raccomanda tre cose: "Essere consapevoli che non esiste alcuna garanzia del mittente nelle e-mail ricevute. Disattivare la visibilità e-mail su Facebook, ma di tenere presente che questo problema si può trovare in qualsiasi altro servizio di posta. Verificare per sicurezza che la e-mail proviene da un server autorevole per quel dominio, e verificare l'autenticità della firma della mail con DKIM". 

Il DomainKeys Identified Mail (DKIM) offre la massima protezione contro gli attacchi di phishing, analizzando il dominio del mittente e l‘intestazione delle email. L'Inteco ha pubblicato un avviso dell'Ufficio Sicurezza Utente Internet sul suo sito, dal titolo: "Possibilità di furto di identità su Facebook Mail Service", e avrebbe fatto lo stesso attraverso la sua newsletter e il social network. Vi consigliamo di rendere invisibile la vostra e-mail anche agli amici. Per far ciò andate su Modifica Profilo e scegliere "Solo io". Il nome utente resterà visibile ma non sarà possibile sfruttare questa vulnerabilità in quanto mancherà uno dei dati fondamentali per il funzionamento dell'attacco.



Nessun commento:

Posta un commento