Seleziona una pagina
martedì, Feb 27

PayPal inventa un sistema per individuare il furto di cookie di autenticazione

da Hardware Upgrade :

PayPal ha depositato una richiesta di brevetto in cui descrive un
nuovo metodo capace di consentire l’identificazione del furto di un
“super-cookie”
, così da prevenire quel genere di attacchi in cui gli
hacker prendono possesso di un account rubando i cookie contenenti token
di autenticazione
, senza che sia così necessario dover conoscere
credenziali di accesso e scavalcando anche i meccanismi di autenticazione
a due fattori.

I super-cookie (chiamati anche zombie cookie o evercookie) sono cookie
particolari che possono contenere molte informazioni riguardanti l’utente,
e che spesso sono utilizzati per le funzionalità di autenticazione ad un
servizio web. La loro particolarità sta nel fatto che vengono archiviati
non solo nel browser web, ma anche in posizioni nascoste così da potersi
replicare qualora il cookie originario venga eliminato dalla posizione
standard di archiviazione del browser allo scopo di facilitare le
successive operazioni di accesso/autenticazione ad un servizio.

“Il furto di cookie è una forma sofisticata di attacco informatico, in
cui un utente malintenzionato ruba o copia i cookie del computer della
vittima al browser web dell’attaccante. Con i cookie rubati che spesso
contengono password con hash, l’attaccante può utilizzare un browser web
sul suo computer per impersonare l’utente (o il suo dispositivo
autenticato) e ottenere l’accesso a informazioni protette associate
all’account senza dover effettuare manualmente l’accesso o fornire
credenziali di autenticazione” si legge nella documentazione
presentata da PayPal
.




Nel momento in cui si verifica una richiesta di accesso ad un servizio
web il meccanismo di PayPal si occupa di stabilire se la richiesta
provenga da un nuovo visitatore o da un utente di ritorno e, in questo
secondo caso, se si possa trattare di un tentativo di accesso non
autorizzato. Il concetto sviluppato da PayPal è quello di valutare la
vulnerabilità della posizione di archiviazione del cookie usato nella
richiesta di accesso
, assegnandovi un punteggio al fine di
determinare una probabilità e un livello di “rischio frode”.

A tal scopo il metodo prevede l’impiego della crittografia sequenziale
per “collegare” tra di loro i valori delle diverse posizioni di
archiviazione associate a richieste di accesso successive: se in una di
queste richieste il valore risultante è al di sotto di un valore atteso,
il sistema non concederà l’accesso e, anzi, innescherà ulteriori misure di
sicurezza nel caso in cui la posizione di archiviazione del cookie usato
per la richiesta venga ritenuta eccessivamente vulnerabile.

Com’è normale per tutte le richieste di brevetto, non vi è alcuna
garanzia che il metodo ideato da PayPal possa trovare un’effettiva
concretizzazione nei servizi offerti all’utente. Il documento, però, va
interpretato in un altro modo, ovvero come dimostrazione che la pratica
del furto dei cookie di autenticazione rappresenta un problema tale da
richiedere nuovi meccanismi di protezione
.

Source link