Effetti possibili: Internet Explorer, se non correttamente aggiornato con le patch di sicurezza, visualizza nella barra di navigazione un indirizzo diverso da quello effettivo, consentendo truffe di ogni sorta (un sito-truffa può spacciarsi per la vostra banca, per esempio).
Questo test non interferisce con il funzionamento del browser e non
comporta alcun pericolo. E' una pura e semplice dimostrazione.
Alcuni antivirus potrebbero segnalare la presenza di un pericolo, chiamandolo per esempio "Exploit-URLSpoof.gen". E'
un falso allarme: l'antivirus riconosce correttamente un codice
presente in questa pagina che viene usato dai siti-truffa, ma qui non
correte alcun pericolo, dato che non vi voglio truffare. Ripeto: questa
è una dimostrazione innocua. Se comunque non vi fidate, lasciate questa pagina: amici come prima.
Il test verrà iniziato soltanto quando cliccate sul pulsante "Procedi con il test" qui sotto. Per tornare all'indice del Browser Challenge, cliccate su “Torna indietro”.
Se il vostro browser è vulnerabile, vedrete una pagina che, se non la si legge attentamente, sembra proprio far parte del sito Microsoft. Oltretutto la barra di navigazione di Internet Explorer indicherà "www.microsoft.com". In queste condizioni, per l'utente medio è estremamente difficile rendersi conto di non essere dove crede di essere.
E' evidente quanto sia facile, per un truffatore, sfruttare questa falla per spacciarsi per un sito di e-commerce e indurvi a immettere nel suo sito-trappola il vostro numero di carta di credito o altri dati riservati.
Se il vostro browser visualizza l'indirizzo vero
(ossia http://www.microsoft.com%01@www.attivissimo.info/security/fakesites2/demo.htm)
o segnala pericolo o un problema nell'indirizzo, ha superato questa prova e potete procedere alla
successiva.
Avvertenze di copyright: non intendo violare alcun copyright con la pagina che compare cliccando su "Procedi con il test". I marchi e i contenuti visualizzati appartengono ai rispettivi proprietari e sono citati soltanto a scopo dimostrativo per rendere realistica l'illusione. Verranno rimossi se richiesto, anche se questo rovinerà l'effetto.
Un lettore, "parucca", riferisce che con Internet Explorer non patchato (come descritto sotto) "non solo si legge www.microsoft.com, ma anche la toolbar di Google dice che il rank è 9/10, quindi pensa di stare davvero sul sito Microsoft!".
Internet Explorer senza la patch citata sotto visualizza fugacemente il vero indirizzo del sito nella barra di stato (quella che di solito sta in basso) durante il caricamento della pagina. Se il caricamento è lento, si ha tempo di notarlo. L'indirizzo reale è mostrato anche al passaggio del mouse sui link attivi (effetto tuttavia eliminabile).
Si può usare il comando File-Proprietà di Internet Explorer non patchato per visualizzare l'indirizzo per intero (grazie a "gamptw" per il suggerimento).
Tuttavia esiste una variante di
questa falla in cui (sempre con IE non patchato) il vero indirizzo non
compare nella barra di stato passando il mouse sul link ingannevole e
neppure il comando File - Proprietà fornisce informazioni utili: basta mettere il carattere esadecimale 01 seguito da "%00" al posto di "%01", come per esempio in http://www.sitoapparente.com[01]%00@sito.effettivamente.visitato.com. Grazie a "fulviolo58" per la segnalazione.
Usare un browser diverso da Internet Explorer. Opera, per esempio, è esente da questa vulnerabilità almeno dalla versione 7.03.
In alternativa, Microsoft ha rilasciato una correzione, che è disponibile presso il sito Microsoft usando la funzione
Windows Update. La correzione si chiama "MS04-004 Cumulative Security Update for Internet Explorer (832894)" o "Pacchetto cumulativo di aggiornamenti della protezione per Internet Explorer 6 Service Pack 1 (KB832894)".
I dettagli tecnici sono presso http://support.microsoft.com/default.aspx?scid=kb;en-us;Q834489. La correzione è consigliata a tutti gli utenti di Windows, compresi
quelli che non usano Internet Explorer: infatti il servizio Windows Update di
Microsoft dice esplicitamente, durante l'installazione della
correzione, che la falla "riguarda tutti i computer che hanno Internet Explorer installato, anche se non viene utilizzato come browser Web".
Una volta installata la correzione, Internet Explorer dovrebbe
rispondere a questo test dicendo che la pagina non può essere
visualizzata e visualizzando nella barra dell'indirizzo il vero indirizzo della pagina.
Internet Explorer, nelle versioni 5 e 6 per Windows non completamente patchate, non visualizza correttamente gli URL. Se gli si assegna un URL contenente il codice "%01", visualizza soltanto la parte dell'URL che precede il codice. Pertanto, un URL come quello usato in questa dimostrazione, ossia http://www.microsoft.com%01@www.attivissimo.info/security/fakesites2/demo.htm, viene visualizzato soltanto come http://www.microsoft.com. La vulnerabilità di IE5 è confermata anche da "alexmagg".
La vulnerabilità non l'ho scoperta io; la sto semplicemente segnalando come hanno fatto molti altri siti. E' stata scoperta, a quanto mi risulta, da Zap the Dingbat, come riferito nella mailing list Bugtraq (http://www.securityfocus.com/archive/1/346948), il 9 dicembre 2003.
Moltissimi lettori hanno confermato la vulnerabilità del loro Internet Explorer. Ringrazio tutti per la collaborazione.
La versione Mac di Internet Explorer sembra esente da questo difetto: "Ga" dice che Explorer 5.1.4 per Mac visualizza (correttamente) l'indirizzo completo nella barra. Questo comportamento corretto è confermato da "zampo.dani" e da "paolonob***", che l'ha verificato su un iMac con MacOS 9.2.1 italiano e Internet Explorer 5.1.7 (5815).
Sempre a proposito di Mac, "searcher" ha utilizzato il browser open source Safari 1.1 sotto Mac OS X 10.3 (Panther): "non succede assolutamente niente: rimango fisso sulla tua pagina, senza neanche ricaricarla. L'unica apparente attività è il pulsante 'Procedi con il test' che effettua l'animazione 'pulsante schiacciato'." Il suo Internet Explorer per Mac fallisce il test.
"virusbeta" dice che Camino 0.7.0 per Mac ha superato il test; lo stesso vale per Explorer 5.2.3 per Mac.
"hermes_foryou" dice che ha superato il test usando Avant Browser (http://www.avantbrowser.com/). Anche "andrea.ro***" e "thiellam" confermano che Avant Browser 8.02, pur basandosi su IE6, non ha la vulnerabilità segnalata.
"marco.cavali***8" conferma che anche Opera 7.23 supera il test.
"gildoc" nota che "con Netcaptor (http://www.netcaptor.com) (anche se è solo un plug-in di Explorer) si vede l'indirizzo completo".
"maug7" dice che Internet Explorer aggiornatissimo (al 23/12/2003) è vulnerabile anche sotto Windows 98.
"gamptw" riferisce i risultati delle sue prove sotto Windows XP Home: Mozilla Firebird 0.7 visualizza correttamente l'indirizzo completo e quindi supera il test; lo fa anche un vecchio Opera (6.01), che mostra inoltre un avviso di sicurezza appena si clicca sul pulsante "Procedi con il test", indicando che la pagina richiesta (chiamata 'username') microsoft.com non e' autentica e si trova sul server www.attivissimo.info.
"maurizio.vicen****i" ha provato con Mozilla 1.5 e ha superato il test. Ha provato anche con Explorer 6.0.2800.1106, "che invece viene bellamente 'gabbato'".
"crazydrum" ha superato il test con Opera 6.06 sotto Windows 98 e l'ha fallito con Internet Explorer 5.00.2614.3500.
"teba74" riferisce il successo di Mozilla Firebird 0.7, di Opera 7.22 e di K-melon 0.7.1 e il fallimento di IE 6.
"marco.fa**" riferisce il successo di Netscape 7.0 sotto Windows XP.
"hayabusa" dice che "Mozilla 1.5 sotto Debian GNU/linux riconosce correttamente la pagina [...], tuttavia non dà nessun avvertimento del possibile inghippo sul nome dominio, che sarebbe utile agli utenti meno smaliziati."
"ivorso" racconta che ha provato con Netscape sia sotto Windows, sia sotto Mac: in entrambi i casi ha letto sulla barra l'indirizzo completo; idem con Internet Explorer (in controtendenza agli altri lettori). Il lettore nota che "a favore di Netscape c'è l'iconcina di attivissimo, cosa non presente in IExplorer, che può far sorgere dubbi sull'autenticità di cio che si legge." L'iconcina è comunque eliminabile.
"A.Turano" dice che ha "provato con Explorer 6.0 patchato appena ieri con l'ultimo update, e con Mozilla 1.4... Explorer non passa il test. Mozilla passa il test."
"gabriele.ie***" riferisce che Windows 95 con Explorer 5.00 fallisce il test sull'indirizzo e "anche visualizzando le proprietà o inserendolo fra i bookmark, succede la stessa cosa."
"orsi" ha superato il test con Mozilla Firebird 0.6.1.
"ivfly" ha superato il test con Mozilla 1.3; "zamp" con Mozilla 1.2.1. Mozilla non si fa ingannare anche sotto Linux (mozilla1.6a), secondo "willyfree" e "maury" (che ha avuto successo con Mozilla 1.4 sotto Mandrake 9.2).
"crusaderky" riferisce che Mozilla 1.5 e Konqueror 3.2.0-beta2, entrambi sotto Gentoo Linux/x86, superano il test.
Anche "pinna" conferma che Konqueror 3.1.3 e mozilla firebird 0.6.1 superano il test.
"scaracco" dice che "il browser K-meleon 0.8.0 (basato su Gecko) riporta correttamente nella barra degli indirizzi l'url completa."
"b.brunod": "anche OPERA 5.0 supera il test".
"antonella.rececc***" dice che "il browser Phoenix [...] mostra l'indirizzo completo."