Chi naviga alla ricerca di news circa la sicurezza informatica avrà sicuramente notato che alcune realtà web stanno “sponsorizzando” un particolare software worm sviluppato in Italia.
In particolare da un sito australiano abbiamo appreso che proprio in Italia è nato uno specifico worm in grado di diffondersi velocemente sfruttando le debolezza di interfacce mail web-based.
Il nome del worm, ovvero Nduja Connection, è tipicamente italiano e svela, rifacendosi ad un prodotto tipico della gastronomia del nostro paese, le sue origini geografiche.
La sua caratteristica è appunto la rapidità di diffusione, ottenuta sfruttando le tecniche di cross site scripting di differenti servizi di web mail.
Nello specifico il worm una volta infettato il primo utente è in grado di estrarre informazioni circa gli altri contatti direttamente dalla rubrica del malcapitato e di conseguenza si auto-invia ad ognuno di questi contatti.
A questo punto è sufficiente che un qualsiasi destinatario apra solamente la mail per fare in modo che il ciclo si ripeta e il worm si propaghi nuovamente.
In questo caso quindi non si tratta di scaricare ed eseguire allegati o visualizzarli, ma è sufficiente aprire la mail anche per un solo istante.
Solo individuando la minaccia dall’oggetto del messaggio sarà possibile difendersi. A detta dell’autore, Rosario Valotta, le quattro realtà di web mail che attualmente sono state attaccate sono Libero.it, Tiscali.it, Lycos.it e Excite.com.
Sempre l’autore afferma che moltissimi altri provider mail web soffrono di problemi di XSS, ad esempio Gmail e Hotmail, ma grazie a particolari politiche e software di sicurezza non possono essere attaccati da Nduja Connection.
La preoccupazione verso gli usi cattivi di questo worm è in ascesa, anche perchè l’unica possibilità per ridurre la diffusione non risulta praticabile.
In pratica sarebbe necessario disabilitare, lato browser, l’utilizzo dei JavaScript, ma in questo modo sarebbe parimenti inutilizzabile anche il servizio di web mail che vogliamo proteggere.