Come riporta Dancho Danchev's Blog, ricercatori di Aladdin Knowledge Systems hanno scoperto una vulnerabilita' che riguarderebbe la cache dei motori di ricerca.
A mio avviso piu' che di una vulnerabilita' si tratta dell'ovvia conseguenza del funzionamento della cache di un motore di ricerca che, come dice il nome, salva il contenuto di un sito creando una sorta di back-up nel caso in cui l' originale non fosse disponibile.
Evidentemente, se la pagina web al momento in cui veniva salvata, conteneva link e script pericolosi, anche se in seguito sono stati rimossi, questi verranno resi disponibili ad una consultazione successiva della cache.
Quindi se, sul link ad un sito bonificato da codici pericolosi, si apre la pagina in cache , si potrebbe venir esposti al pericolo malware senza probabilmente esserne a conoscenza.
A mio avviso piu' che di una vulnerabilita' si tratta dell'ovvia conseguenza del funzionamento della cache di un motore di ricerca che, come dice il nome, salva il contenuto di un sito creando una sorta di back-up nel caso in cui l' originale non fosse disponibile.
Evidentemente, se la pagina web al momento in cui veniva salvata, conteneva link e script pericolosi, anche se in seguito sono stati rimossi, questi verranno resi disponibili ad una consultazione successiva della cache.
Quindi se, sul link ad un sito bonificato da codici pericolosi, si apre la pagina in cache , si potrebbe venir esposti al pericolo malware senza probabilmente esserne a conoscenza.
Vediamo un esempio pratico, leggermente diverso da quello citato da Dancho Danchev's Blog che ricordava il problema del sito del Consolato USA a San Pietroburgo.
Il 13 dicembre McAfee informava del problema al sito dell'Ambasciata di Francia in Libia consistente nella presenza di un iframe che era stato inserito nel codice della home page .
Se si effettua una ricerca con Google per 'french embassy site libya' abbiamo questo risultato:
Cliccando normalmente sul link ottenuto con la ricerca viene aperta questa pagina
ma se si clicca sul link alla cache la pagina aperta e' diversa
In questo caso la cache di Google ci presenta il sito salvato il 10 dicembre quando la pagina conteneva ancora l'iframe pericoloso.
Qui vediamo l'addon Firefox NoScript che ci evidenzia il problema.
Se infatti esaminiamo il codice della pagina abbiamo
che a sua volta punta ad altro sito con 2 script attivi:
Senza approfondire ulteriormente la tipologia del malware in questione , in ogni caso , si puo dire che, avendo aperto la pagina in cache , siamo esposti al pericolo di questi script ripristinati.
Una possibile tattica di un malintenzionato potrebbe quindi consistere nell'inserire script pericolosi in un sito ed attendere comunque che qualcuno visiti la cache dello stesso per portare l'attacco anche se, al limite, la pagina pericolosa fosse gia'stata rimossa.
Lo stesso problema e' presente anche in altri motori di ricerca che comunque salvino in cache il sito.
Google cerca di limitare le possibili conseguenze di questo problema attraverso la cancellazione di tutte le pagine in cache per quei siti che vengono marcati dal motore di ricerca come pericolosi alla navigazione ("this site may harm you computer"), cosa che non fanno altri motori di ricerca.
Comunque nel caso che abbiamo visto ora del Consolato di Francia questa pagina non era stata marcata da Google come pericolosa e quindi rimane tuttora on line in cache.
Anche se la capacita' di conservare pagine web in cache e' un utile strumento per chi ricerca malware purtroppo, come abbiamo visto, presenta anche qualche rischio in piu' per chi usa un motore di ricerca.
Edgar
Nessun commento:
Posta un commento