Alcuni esperti di sicurezza hanno annullato una dimostrazione pubblica in occasione della “OWASP Conference“, fissata a New York per il 24 e 25 Settembre prossimi. Uno dei protagonisti dell’evento, Robert Hansen, ha spiegato le motivazioni che hanno condotto al cambio di programma: le vulnerabilità scoperte sarebbero talmente serie da aver spinto gli esperti ad applicare il principio della “divulgazione responsabile” contattando le aziende interessate dalle varie problematiche prima di svelare qualsiasi dettaglio in pubblico.
La discussione di Robert Hansen e del collega Jeremiah Grossman era intitolata “Clickjacking“. Stando alle anticipazioni rese note dai due ricercatori, una serie di falle di sicurezza potrebbe consentire ad un aggressore di generare un “clic”, come se fosse effettuato da parte dell’utente, su un qualunque link. Questo genere di vulnerabilità potrebbe fungere da trampolino di lancio, ad esempio, per attacchi phishing. Secondo i due esperti di sicurezza, il problema del “Clickjacking” sarebbe già ben conosciuto ma ampiamente sottovalutato.
Nel 2005, Cisco intentò un’azione legale nei confronti dei relatori di una conferenza BlackHat. In quell’occasione, i ricercatori avevano fatto riferimento a vulnerabilità relative al software IOS di Cisco, integrato nei router commercializzati dall’azienda.
Hansen e Grossman hanno dichiarato di aver contattato i vari produttori software interessati dalla vulnerabilità. Adobe avrebbe già ammesso la presenza di una lacuna di sicurezza spiegando di essere già al lavoro per risolverla.
Open Web Application Security Project (OWASP) è una fondazione senza scopo di lucro che incentra le sue attività sulla produzione di risorse, articoli e materiale relativo a problematiche collegate con la sicurezza informatica.
Non affiliata con alcuna società, OWASP può contare sul supporto di una comunità di collaboratori a livello mondiale.