Falla grave nei browser alternativi, si salva IE *aggiornamento*.

Di Paolo Attivissimo.

Il mancato rispetto degli standard risparmia a Internet Explorer una trappola perfetta che far la gioia dei truffatori online. Pronte le prime correzioni.

ZEUS News.

www.zeusnews.it.

10-02-2005.

logo di Internet Explorer
I browser alternativi Opera, Mozilla, Firefox, Camino, Konqueror, Netscape, Safari e altri sono a rischio truffa ed  necessario aggiornarli. Un aggressore
che vuole carpire i codici di accesso a banche o altri siti commerciali pu quindi creare un sito visivamente uguale a quello autentico e poi attirare
le vittime offrendo via e-mail o Web un link indistinguibile da quello del sito vero. Internet Explorer si salva da questo rischio perch non supporta
correttamente uno degli standard di Internet, l'IDN (Internationalized Domain Names).

La falla, scoperta da Eric Johanson di
Shmoo.com,
crea un inganno praticamente perfetto, come potete verificare usando il semplice
test di Secunia.com
oppure provando a distinguere quale di questi due link  quello autentico (cliccateli pure, sono entrambi innocui):

http://www.paypal.com/
http://www.payp?l.com/
Uno di questi due link porta a una pagina dimostrativa di Secunia.com anzich a Paypal, ma se il vostro browser  vulnerabile, nella barra degli indirizzi
sar indicato in entrambi i casi l'indirizzo di Paypal.com (o almeno cos vi sembrer).

Il problema nasce dal fatto che secondo lo standard IDN  possibile registrare nomi di dominio contenenti caratteri speciali di alcune lingue: gran bella
cosa, che permette per esempio ai francesi di avere dominii con lettere circonflesse e agli spagnoli di avere la tilde dove ci vuole (come in
Espaa.com),
ma che permette anche ai truffatori di registrare nomi di dominio che somigliano dannatamente a quelli di siti famosi, differenziandosene soltanto perch
usano un carattere speciale al posto di uno "tradizionale" (come la seconda A nei link dimostrativi mostrati qui sopra).

Ironicamente, Internet Explorer non  vulnerabile in questo caso perch non supporta correttamente i nomi di dominio contenenti caratteri speciali (salvo
che abbiate installato gli appositi plug-in, come infatti capita se usate IE per cliccare sul link al sito spagnolo citato sopra): di solito si limita
a dire che  impossibile connettersi al sito, dando la falsa impressione che il sito desiderato sia disattivato o in panne.

Versioni aggiornate di alcuni browser alternativi, che tengono conto di questo problema, sono gi pronte. Resta valida la
raccomandazione
gi fatta a suo tempo: non fidatevi dei link a banche o negozi forniti da sconosciuti, ma usate i Preferiti oppure digitateli a mano.

Aggiornamento (10/2/2005): Sono ora disponibili le versioni aggiornate di
Firefox (1.0.1)
e
Mozilla
che correggono questa falla.

Infatti gli utenti di Firefox e Mozilla possono ora disabilitare l'interpretazione dei caratteri speciali, digitando about:config nella casella dell'indirizzo
e poi impostando a False il valore del parametro "network.enableIDN". L'opzione era gi presente nelle versioni precedenti ma non funzionava correttamente.

Con questa modifica, Firefox e Mozilla non si collegano al sito-trappola e lo dichiarano inaccessibile, comportandosi esattamente come Internet Explorer,
e visualizzano nell'angolo inferiore sinistro i caratteri reali del link, indicando che c' qualcosa che non quadra.

Nota: Questo articolo  stato riscritto massicciamente per tenere conto del rapido evolversi della situazione (e di un mio errore). Alcuni commenti dei
lettori, pertanto, potrebbero riferirsi a frasi che non esistono pi.

Paolo Attivissimo.

