I pericoli maggiori arrivano quando un attacco sovverte una delle nostre certezze indiscutibili. Quando copiamo un elemento con il classico Ctrl+C, per esempio, non ci poniamo nemmeno il problema di che cosa abbiamo effettivamente copiato negli appunti. E perché mai dovremmo?
Stando a quanto spiega Dylan Ayrery, però, dovremmo farci molta attenzione. Soprattutto quando l’elemento che abbiamo copiato dovrà essere incollato in una finestra del Prompt, nella Power Shell o in una finestra terminale.
Ayery, in un post su GitHub, spiega nei dettagli la questione, in realtà nota da tempo ma sottovalutata un po' da tutti. Lo strumento che può trasformare la sequenza di comandi Ctrl+C/Ctrl+V in un potenziale disastro è un semplice Javascript o addirittura l’uso dei CSS in una pagina HTML.
Il succo della questione è che il contenuto copiato cambia quando lo si incolla. E se questo avviene in una finestra terminale, significa che un comando viene eseguito istantaneamente, eseguendo qualsiasi tipo di azione sul computer.
Ayery ha realizzato una demo che mostra il funzionamento: per vederlo in azione basta collegarsi a questa pagina, copiare il testo “not evil” e incollarlo dove preferiamo. Il risultato sarà diverso da quello che ci aspettiamo.
Lo scenario tipico in cui un pirata informatico potrebbe sfruttare una tecnica del genere è quella di una pagina Web in cui si riporta, per esempio, una guida con istruzioni piuttosto lunghe e complesse. Di fronte a comandi seguiti da svariate opzioni (solitamente criptiche), chi non userebbe il copia-incolla?
Teniamo presente che, tra l'altro, il javascript "malevolo" potrebbe essere anche iniettato da criminali su siti che riteniamo affidabili o che abbiamo usato in passato senza problemi.
Per proteggersi da un simile attacco esiste un solo metodo affidabile: incollare il testo copiato sul Blocco Note prima di usarlo, verificando che corrisponda a quello originale.