L’HACKER ETICO ROBERTO BINDI PER GIOCO SCOPRE UN BUG: L’INVIO DI UN MESSAGGIO DI TESTO “DISTORTO” PORTA AL BLOCCO DELLA WEB MAIL PIÙ UTILIZZATA AL MONDO.
L’attività di ricerca degli hacker etici di We Are Segment non si ferma mai, e questa volta hanno trovato una vulnerabilità di Gmail.
Il giovane hacker, Roberto Bindi, dell’azienda di sicurezza informatica del gruppo Interlogica, spinto dalla volontà di testare in profondità la sicurezza dei sistemi informatici di utilizzo massiccio scopre che la web mail di Google si blocca ricevendo dei messaggi particolari. Ciò significa che Gmail non consente più all’utente di accedere alla propria casella di posta.
Roberto ha scoperto questa vulnerabilità di Gmail durante una ricerca per capire cosa sarebbe successo immettendo nel browser (Chrome, Safari, Firefox o Explorer) uno Zalgo text di grandi dimensioni (ossia circa 1MB di testo, vedi immagine sottostante).
Il testo, che vedete qui sopra, è costituito da caratteri e meta-caratteri (lettere, numeri e altri segni) che si estendono in orizzontale o verticale sopra e sotto il testo originale, grazie all’effetto prodotto dai segni/caratteri combinatori dello standard Unicode di rappresentazione dei caratteri in informatica.
Inizialmente, ha verificato che questa particolare tipologia di testo (con molti meta-caratteri, anche oltre il milione) genera un browser crash, ossia il browser di navigazione si blocca per alcuni minuti. Però l’hacker etico di WeAreSegment non si è fermato lì. Spinto da una forte curiosità, ha deciso di verificare cosa sarebbe successo inviando una mail contenente lo Zalgo text. Ciò che ha scoperto lo lascia sconcertato. Lui si aspettava un ulteriore blocco del browser, ma ha constatato che a bloccarsi è stata Gmail stessa. La mail viene ricevuta ma l’utente non riesce ad aprirla, visto che appare un “Errore 500”; cioè il segnale con cui il server informa sulla generazione di un errore interno non specificato, ad esempio un errore irreversibile nel codice. Da questo momento, l’utente vede la sua propria casella di posta bloccata per ben quattro giorni, senza la possibilità di leggere o scrivere email.
Dopo aver verificato la durata del blocco e prima di pubblicare la sua scoperta, Roberto ha comunicato a Google questa vulnerabilità, dando così il tempo necessario per sistemarla. Questa procedura, come si evince dal comunicato stampa pubblicato dall’azienda di sicurezza informatica, « sottolinea quanto We are segment sia costituita da ethical hackers.» Questa strada è stata percorsa anche perchè questa vulnerabilità è facilmente sfruttabile da malintenzionati, in quanto lo Zalgo text è semplicissimo da generare usando uno dei numerosissimi tool disponibili online o generato tramite un semplice script di poche righe.
Filippo Cavallarin, CEO di WeAreSegment, ribadisce in questa occasione:
«Questo fatto dimostra ancora una volta come la ricerca sia un tassello fondamentale del nostro lavoro, perché anche grazie a questo tipo di attività possiamo dare il nostro contributo per aumentare la sicurezza informatica a livello mondiale.»
