Yahoo Mail  la prima vittima di Ajax.

Di Dario D'Elia.

Mytech, 15/6/2006.

http://www.mytech.it/computer/virus/articolo/idA028001065917.art.

L'avvento della tecnica di sviluppo Ajax era stato salutato dai giganti del Web come una rivoluzione. In effetti permette di sviluppare applicazioni Web interattive pi efficienti: le richieste ai server online vengono razionalizzate con effetti benefici sulla velocit operativa. Il difetto pi serio che si sta concretizzando negli ultimi mesi, per, riguarda la sicurezza. Una delle prime vittime  stato Yahoo Mail. Il worm Yamanner ha richiesto l'implementazione di contromisure per i server Yahoo che amministrano il mailing.

Yamanner aveva sfruttato una falla presente fra le funzioni JavaScript di Yahoo Mail che permettono l'upload di immagini in allegato. Il worm, in pratica, era in grado di sostituire i suoi comandi JavaScript (componente chiave di Ajax) con i codici che permettevano la destinazione delle immagini. Ora, sebbene la soluzione al problema non si sia fatta troppo attendere, il problema di fondo  che Ajax viene utilizzato anche da Yahoo Calendar, Yahoo Sports, Yahoo Photos e Flickr. Senza contare Google, Microsoft, Nokia, Oracle, Adobe, Sun, IBM, etc.

Insomma, tutti pazzi per Ajax anche se gli esperti del settore sono convinti che la sua protezione sia complicata e articolata. "Questa vulnerabilit non  una sorpresa. Le applicazioni Ajax sono sempre pi utilizzate senza troppa attenzione alla sicurezza", ha dichiarato David Wagner, docente presso il Dipartimento di Informatica della University of California di Berkeley. Senza un corretto lavoro le applicazioni Web che sfruttano Ajax sono destinate ad essere colpite dagli hacker. Yamanner era in grado di sfruttare i PC degli utenti - nello specifico le rubriche - per inviare richieste ai server mail Yahoo. In seguito attivava un mailing a tutti gli indirizzi per agevolare la sua diffusione. Rispetto ai worm pi conosciuti non viaggiava sotto forma di allegato e non richiedeva il click su un'icona o un link. Era sufficiente aprire il messaggio e in pochi secondi la contaminazione diventava certezza.

"La questione di fondo  che Yahoo non  certamente incompetente. In verit  l'operazione di filtro su JavaScript ad essere estremamente difficile. JavaScript mette in vantaggio gli hacker, e per la difesa  veramente dura", ha confermato Wagner. "Un hacker  in grado di testare continuamente i suoi progressi.

In pratica si autospedisce mail con codici malware finch non trova qualcosa che funzioni", ha dichiarato Gary McGraw, CTO della societ di sicurezza Cigital.

Una volta fatta la scoperta la comunit degli hacker si attiva e individua il metodo migliore per sfruttare la falla. "JavaScript era considerato gi pericoloso prima dell'avvento di Ajax, ma adesso l'incremento delle funzionalit  destinato a far peggiorare la situazione", ha sottolineato Billy Hoffman, ricercatore presso la societ di sicurezza SPI Dynamics.

Dario D'Elia.

