Nicola D'Agostino (.net) - Articoli, traduzioni, grafica, web

I rischi di RSS

Rischi, meccanismi e soluzioni per evitare che i feed RSS si trasformino da mezzo in comunicazione in un’arma di attacco online.

di Nicola D’Agostino

La decisione di Microsoft di adottare nel prossimo Vista quelli che chiama ;"webfeed", probabilmente sarà l’affermazione definitiva dell’RSS.
Infatti non solo Internet Explorer (dalla versione 7) ma tutto l’OS conterrà un motore per RSS e fornirà agli sviluppatori delle API sfruttabili. Visti i trascorsi dell’azienda sulle testate informatiche si è già ipotizzato di come i feed verranno sfruttati per fare phishing o per impossessarsi dei computer eseguendo codice.

Aggiunta di feed in Explorer 7 beta

E’ però anche vero che per ora la confusione è molta e che tra le voci più allarmate ci sono soggetti interessati, come le ditte che producono antivirus.
Proviamo a fare un po’ di chiarezza.

Bufala o no?

Anche se non si conoscono ancora casi ufficiali, il rischio di attacchi via RSS è concreto: la prima dimostrazione pratica l’ha data già due anni fa Mark Pilgrim.
Nel giugno del 2003 Pilgrim ha tirato uno scherzetto a chi seguiva il feed del suo blog DiveIntoMark riempiendo di ornitorinchi lo schermo degli utenti.
Lo scherzo, poi analizzato in dettaglio, è stato soprattutto una prova di sicurezza dei programmi usati per leggere i feed RSS: se sono apparsi gli ornitorinchi significa che se viene accettato ed eseguito HTML da qualsiasi fonte senza controlli o autorizzazioni il programma non è sicuro.

Il problema è però a monte, nelle specifiche stesse dell’RSS, e nella sua inclusione di codice HTML. Da un lato è una funzione utile, sfruttata per assemblare feed a partire da pagine web ma dall’altro è causa di un’insicurezza intrinseca per cui dentro il feed si potrebbe infilare davvero di tutto: script, oggetti ActiveX, stili CSS e altro ancora.

Soluzioni?

Per fortuna c’è anche chi si sta rimboccando le mani per tenere sotto controllo la situazione.
Una proposta viene dal tipo degli ornitorinchi di sopra, Mark Pilgrim. è un’opzione brutale: filtrare il feed ed eliminare tutti gli script e molti tag o addirittura limitare tutto il sorgente ad un piccolo set predefinito (e sicuro).
Nello specifico il newsreader o un programmino che si metta in mezzo dovrebbe spurgare l’RSS da: i tag con ogni tipo di script, i tag embed e object naturalmente, quelli con frame, iframe, e frameset, i tag meta che potrebbero attivare un ridirezionamento e i tag link e gli stili.
Efficace, senza dubbio: ma anche macchinoso e rischia di ridurre davvero ai minimi termini l’RSS (non si potrebbe seguire facilmente un link http per l’approfondimento, tanto per dirne una).

Per qualcosa di meno radicale ma volto piuttosto a tappare i buchi esiste invece uno strumento già pronto e gratuito: RSS Reader Security Check. Se veniamo a sapere di una vulnerabilità che colpisce gli RSS e vogliamo controllare se il programma con cui leggiamo i feed è vulnerabile o meno RSS Reader Security Check ci viene in aiuto. Si tratta di una verifica non distruttiva di tutti -o quasi- i problemi di sicurezza noti allo stato attuale: basta iscriversi ad uno dei feed-test sul sito con il proprio newsreader o aggregatore e controllare se passa l’esame o meno. Il supporto è esteso e include sia client standalone come Amphetadesk o WinRSS che servizi online come Bloglines e c’è anche una versione generica per prodotti non elencati. Non è una soluzione definitiva ma vigilare sulle vulnerabilità degli RSS/XML reader è un primo piccolo passo verso la sicurezza, che come alcuni dicono "non è un prodotto, è una procedura".

sito web di RSS Reader Security Check con elenco dei feed

Secure RSS Syndication

Una soluzione infine per distribuire dati via RSS ma leggibili solo a chi vogliamo ce la fornisce l’uso della crittografia. In un lungo articolo su XML.com Joe Gregorio ci introduce ai misteri della “Secure RSS Syndication”. Il sistema ideato da Gregorio si appoggia sul leggere il feed da un aggregatore online (ad esempio Bloglines) con il browser Firefox con uno script per l’estensione Greasemonkey (di cui parliamo in dettaglio su Hacker Magazine 30). Lo script, securesyndication.user.js, implementa la crittografia Blowfish per nascondere il contenuto del feed RSS. Chi però ha la chiave non deve autenticarsi ogni volta o decifrare: ci pensa automaticamente il browser che rimpiazza il testo nascosto con la versione in chiaro.
Per chi volesse approfondire questa strada tutti i dettagli, come il codice del Javascript per Firefox, sono su www.xml.com/lpt/a/2005/07/13/secure-rss.html

Un box ci avverte sulla presenza di informazioni da decrittare

Blog e malware

Se l’uso degli RSS è ancora tutto da dimostrare, i blog sono tutta un’altra storia. Si tratta di siti web, dopotutto e la navigazione, per alcuni programmi e sistemi operativi, può essere un vero campo minato (sì, il gioco di parole è voluto).
Già nel marzo 2005 Websense Security ha riportato un caso in cui e-mail e messaggi via Instant Messenger falsi (via spoofing) puntavano ad un blog dall’aspetto innocente.
Qui c’era invece un trojan (per la precisione un keylogger, bancos.ju) creato per rubare alle vittime password ed informazioni relative all’home banking.
Tra i motivi per cui gli autori di malware possono preferire i blog è facilità nell’ottenere account, la capienza dello spazio offerto e la mancanza di controlli antivirus a livello server.
Da non sottovalutare è anche la fiducia verso i blog, che da molti vengono visti qualcosa di diverso dai siti, con il rischio di abbassare la guardia.

Una versione di questo articolo è stata pubblicata su "Hacker Journal" n. 86 del 20/10/2005