Come gli hacker riutilizzano i cookie

Se da un lato, giustamente, continuiamo ad interrogarci e a dibattere circa la reale efficacia della “Cookie Law”, dall’altro trovo sia questa una buona occasione per rammentarci una volta in più di quanto spesso la nostra identità sia pericolosamente esposta in rete, motivo per cui, anche e soprattutto in vista di questi cookie che sapranno tutto di noi, è bene adottare alcune contromisure per proteggerci.

Non voglio qui dare indicazioni circa le misure di protezione, vorrei piuttosto riflettere su come gli attaccanti possono utilizzare i cookie tanto coccolati dal Garante, per muovere degli attacchi informatici verso le applicazioni che utilizziamo.

Semplificando (ma non troppo): i cookie raccolgono e memorizzano dati. Dati su di noi, sulle nostre scelte, sui nostri interessi, sul chi siamo e sul cosa ci piace fare e cercare in rete. I cookie sono dunque una miniera d’oro tanto per le agenzie di marketing quanto per gli hacker, e mentre le prime riutilizzano le informazioni per pubblicità mirate, i secondi riutilizzano informazioni per attacchi mirati.

Più nel dettaglio: due esempi di attacchi che si possono effettuare tramite il possesso di cookie di utenti terzi (non i nostri per intenderci, ma quelli del vicino di casa) potrebbero essere:

attacco il vicino di casa con la tecnica dell’Hijacking: letteralmente, modifico opportunamente dei pacchetti dei protocolli TCP/IP al fine di dirottare i collegamenti ai miei siti web per prenderne il controllo. Quando accediamo ad un’applicazione web, e accettiamo che i cookie di quel sito comincino ad identificarci, la conoscenza di tale cookie consente di impersonare l’utente per tutta la durata della sua permanenza sulla piattaforma web (perché poi il cookie scade).
Oppure, attacco il vicino di casa tramite unEscalation di privilegi. La rete è neutrale, ci mancherebbe, ma per evitare che il somaro di turno metta a repentaglio un intero sito web si tende a distribuire dei privilegi differenti a quegli utenti con compiti e competenze differenti. Ma se il cookie contiene un campo “privilegi”, e se questo campo è in qualche modo facilmente modificabile, ecco che allora l’utente somaro ma un pochino scaltro può aumentare i propri privilegi, andando di conseguenza a guadagnarsi la libertà di svolgere maggiori operazioni.

I due esempi sopra elencati, rappresentano due delle maggiori vulnerabilità a cui sono sottoposti i cookie, ma ne esistono certamente di altre. In linea di massima, un classico attacco ai cookie si compone di tre fasi:

1 - Cookie collection: di un biscottino non ce ne facciamo molto. Più ne raccogliamo e più informazioni abbiamo.
2 - Cookie reverse engineering: raccolta una confezione consistente di biscotti, l’attaccante prova a ripercorrere a ritroso l’algoritmo che ha generato i cookie che si ritrova sottomano. È in questa fase che si prova a dare risposte a domande del tipo: è un cookie numerico? È un cookie alfanumerico? Da quante parti è composto? Il cookie è stato cifrato? Quale cifratura è stata utilizzata? Il cookie contiene informazioni circa il workflow di un’applicazione? Cosa accomuna i cookie che abbiamo? Cosa li differenzia?
3 - Cookie poisoning: mai accettare le caramelle dagli sconosciuti, potrebbero essere avvelenate. Dopo aver condotto delle analisi statistiche su sufficienti campioni di cookie, diventa possibile forgiare dei cookie che non danno particolare fastidio all'utente, ma che in realtà interferiscono dietro le quinte nel rapporto client - server. Quando l’attaccante è in grado di costruire cookie validi (per validi intendiamo “sensati”, riconosciuti, erroneamente, come normali e corretti dal sistema), allora può avvenire l’attacco vero e proprio. L’esito positivo per l’attaccante non è sempre scontato, e talvolta può richiedere svariati tentativi dipendenti da alcune condizioni al contorno variabili.

Dunque, l’entrata in vigore di questa “Cookie Law”, potrebbe rivelarsi un’utile occasione per promuovere una riflessione collettiva circa la nostra sicurezza in rete in relazione, in questo caso, all’utilizzo dei cookie.

Più che il dubbio sul mettere o non mettere un banner nel proprio blog, si potrebbe piuttosto cominciare a porre al centro del dibattito i rischi e le problematiche a cui gli utenti possono andare in contro quando si collegano ad Internet.


nota 1: anche tu puoi diventare un hacker e costruire tutti i cookie che vuoi. Qui, su Giallo Zafferano, una guida passo passo.

nota 2: per approfondire l’argomento puoi dare una letta a questo documento, prodotto dal Clusit, l’Associazione Italiana per la Sicurezza Informatica.

share the wisdom

Condividi su facebook
Condividi su twitter

Matteo Troìa / 2019