Falla di Google tappata dall’Università di Genova
3 Settembre 2008 Pubblicato da Pino Bruno
- 3 Settembre 2008
- SCIENZE, SICUREZZA
- 0 Commenti
L’università di Genova ha trovato e tappato una falla del servizio di autenticazione Sign-On di Google. Merito del gruppo di ricerca del Laboratorio di Intelligenza Artificiale del Dipartimento di Informatica, Sistemistica e Telematica (DIST). Il Single Sign-On è utilizzato dai clienti aziendali di Google e permette l’accesso via LAN a Gmail, Calendar e molti altri servizi.
Se i dettagli della vulnerabilità fossero caduti in mano a malintenzionati, le conseguenze avrebbero potuto essere pesanti, a partire dalla violazione della privacy degli utenti fino alla sottrazione di segreti industriali. Si parla al passato, perché il Prof. Alessandro Armando, coordinatore del Laboratorio di Intelligenza Artificiale ha tempestivamente segnalato la vulnerabilità. Sia a Google che al Computer Emergency Response Team (un ente internazionale indipendente preposto alla raccolta, divulgazione e individuazione delle vulnerabilità dei sistemi informatici e delle relative contromisure). Così Google ha avuto il tempo di produrre una nuova versione del protocollo di autenticazione, mentre i clienti aziendali hanno potuto modificare le applicazioni.
“La vulnerabilità del protocollo impiegato da Google – ha detto il Prof. Alessandro Armando – è stata individuata da un programma per l’analisi automatica dei protocolli di sicurezza messo a punto dal nostro gruppo di ricerca. Grazie all’utilizzo delle più avanzate tecniche di Intelligenza Artificiale il programma è capace di analizzare tutti i possibili comportamenti del protocollo in presenza di un agente ostile che cerca di attaccarlo. Si pensi che il numero dei comportamenti che è stato necessario analizzare per trovare la vulnerabilità al protocollo di Google è composto da più di 300 cifre. Si tratta di un problema di complessità formidabile che elude le capacità analitiche umane“. “La verifica del corretto funzionamento degli apparati ad elevata complessità (quale è appunto Internet) – ha aggiunto il docente – è una delle nuove frontiere dell’Intelligenza Artificiale e il risultato ottenuto dal nostro team è un passo importante in questa direzione.”
La scoperta della vulnerabilità è stata realizzata dal Prof. Alessandro Armando in collaborazione con il Dott. Roberto Carbone, studente di dottorato del DIST, il Dott. Luca Compagna (SAP Research, Francia), il Dr. Jorge Cuellar (Siemens, Germania) e la Dott.ssa Llanos Tobarra (studentessa di dottorato dell’U. Castilla-La Mancha, Spagna) nell’ambito del Progetto AVANTSSAR (Automated Validation of Trust and Security of Service-oriented Architectures), finanziato dall’Unione Europea nell’ambito del tema ICT del 7° Programma Quadro per la sezione “Infrastrutture informatiche sicure e affidabili”. Si tratta di un primo, importante risultato del Progetto che è finalizzato alla messa a punto di una tecnologia capace di garantire la sicurezza informatica dei servizi distribuiti sulla Rete oggi molto diffusi nell’ambito della finanza, dell’e-health, dei mezzi di trasporto di massa e del commercio elettronico.
Il progetto, iniziato nel Gennaio 2008 per una durata complessiva di 3 anni, coinvolge dieci partner europei per un totale di circa 50 ricercatori e si avvale di un budget complessivo di 6 milioni di euro, di cui 3,8 finanziati dall’Unione Europea. Il progetto vede impegnati oltre all’Università di Genova, l’Università di Verona (che coordina il progetto nella persona del Prof. Luca Viganò), il Politecnico di Zurigo (ETH) e l’IBM Research Laboratory sempre con sede a Zurigo, il Centro di Ricerca Informatica INRIA di Nancy, l’Università di Tolosa e l’azienda OpenTrust di Parigi in Francia; l’Istituto di Ricerca IEAT di Timisoara in Romania; la SAP (multinazionale per la produzione di software) e la Siemens in Germania.
Il Progetto AVANTSSAR si basa su un precedente progetto (AVISPA), coordinato dal Prof. Alessandro Armando, che nel 2006 è stato nominato per l’European Union Descartes Research Prize, il premio attribuito dalla Comunità Europea ai migliori progetti europei dell’anno in tutti i campi scientifici.
- Messaggio con cui Google avvisa i propri clienti della vulnerabilita`: http://www.ai-lab.it/armando/pub/GoogleSSO-vulnerability-message.txt
- Pagina web in cui Google da` credito agli autori della scoperta e al progetto AVANTSSAR: http://www.google.com/corporate/security.html
- Sito web del progetto AVANTSSAR: http://www.avantssar.eu
- Rapporto sulla vulnerability pubblicato dal CERT: http://www.kb.cert.org/vuls/id/612636