È iniziata la Black Hat, una conferenza in cui i maggiori esperti di hacking mondiale si riuniscono per fare il punto della situazione. Al centro di manifestazioni di questo genere ci sono da sempre i browser e anche stavolta non si faranno eccezioni (anche se l'occhio cadrà sul mondo mobile). Tutti i browser sono vulnerabili e non è difficile entrare in possesso d'informazioni personali che permettono di accedere a conti bancari. "Nessuno degli strumenti che dimostrerò è realmente difficile", ha affermato Jeremiah Grossman, capo delle tecnologie di WhiteHat Security.
Gli exploit realizzati da Grossman permettono di entrare in possesso dei dati immagazzinati nei browser grazie alla tecnologia conosciuta come "autocompletamento", molto utile per chi usa assiduamente il browser (permette di completare dei campi automaticamente senza digitare - email, nomi e password), ma a quanto pare insicura.
"È un problema di privacy e di sicurezza", ha dichiarato Grossman. L'hacker ha realizzato exploit differenti per Internet Explorer, Safari, Chrome e Firefox e tutti riescono a superare le difese della funzionalità di autocompletamento. L'uomo ha dichiarato che ha notificato agli sviluppatori dei browser le vulnerabilità , ma nessuno ha risposto dicendo come intende agire.
"Più di un exploit usa la scrittura simulata, iniziando a scrivere il nome utente. Poi la funzionalità fa il resto e completa il tutto. Il fatto che ogni browser richieda un differente exploit indica che i problemi sono nella codifica software", scrive Computerworld. "Penso che possano essere risolti", ha affermato l'hacker, aggiungendo che la falla in IE era già stata scoperta nel 2008, ma non è ancora stata risolta.
Alla Black Hat si parlerà anche del rapporto tra chi scova le falle e i produttori di software. Recentemente un ingegnere di Google ha scovato una fatta in Windows e dopo pochi giorni ha pubblicato l'exploit in Rete senza attendere che Microsoft avesse deciso come agire (Windows XP: 10mila attacchi per colpa di Google). Un caso che fa sicuramente da precedente e alla Black Hat si discuterà proprio su come comportarsi in situazioni simili e insieme alle aziende si potrebbe definire una deadline prima della quale si terranno "in cassaforte" eventuali exploit.
Al centro del dibattito due filosofie: la full disclosure (viene pubblicato tutto quasi subito) e la responsible disclosure (si pubblica il codice exploit solo dopo la patch rilasciata dall'azienda).
Da una parte la pubblicazione del codice exploit mette sotto pressione l'azienda sviluppatrice di software, che interviene rapidamente per risolvere la falla - ma mette in pericolo anche gli utenti che usano il software con la falla. La seconda opzione è invece più comoda per le aziende: un ricercatore trova il bug e lo comunica al produttore del software, poi aspetta che venga risolto e in seguito può pubblicare tutti i dettagli. Come abbiamo visto però ci sono falle note da anni che non ricevono fix. Allora che strada scegliere, qual è la migliore? Gli hacker s'interrogano.