Il tubo si è rotto: YouTube hackerato

[floola]

ROMA - "Notizia flash: Justin Bieber è morto stamattina in un incidente d'auto". E' il messaggio allarmante, e falso, che si apre su alcune pagine di YouTube. Ma per Google, proprietaria del sito, la notizia è anche peggiore: basta un semplice codice inserito nei commenti per far comparire messaggi sulle pagine del sito o attivare animazioni, far comparire testi, caricare foto, video pornografici e - forse - rubare dati personali relativi ai propri account.

Abbiamo provato anche noi, aggiungendo un semplice messaggio di allarme testuale su un video: funziona davvero, e a costo zero. Un hacker, ma anche un programmatore con conoscenze base, potrebbe creare seri danni ai computer degli utenti.

La notizia di Justin Bieber ad esempio è apparsa aprendo un video di Lady Gaga - uno dei più visti in assoluto con 238 milioni di visualizzazioni - ma basta iniziare a navigare un po' per trovarne altri con messaggi simili o con attacchi molto più invadenti: nella foto qui accanto, un testo su sfondo nero che appare intorno al video.

Pensare alle possibili ripercussioni è facile e si capisce immediatamente che il danno potenzialmente è distruttivo. La rete è in fibrillazione: si stanno moltiplicando nei forum le discussioni sui possibili rischi e su come evitare danni.

Anche sul forum ufficiale di Google è stata aperta una discussione, senza che la compagnia di Mountain View abbia ancora commentato.

"E' un casino completo", scrive un utente; "E' la fine di YouTube" scrive un altro, forse esagerando un po'. In ogni caso il problema esiste e non è da poco: sfruttando questo bug, si possono far scomparire pezzi di pagina, sostituirli con testi che scorrono, aggiungere link ad altre pagine e chissà cos'altro. E a rischio ci sono anche i dati personali degli utenti: "Non andate sul sito - si legge in un forum - l'exploit può essere usato per rubare i vostri dati".

Vulnerabili tutte le pagine dei video degli utenti che non moderano i commenti: al momento infatti l'unica cosa da fare, se avete un account YouTube e avete caricato dei video, è mettere i commenti in premoderazione. E sperare che Google risolva il problema in breve tempo.

http://www.repubblica.it/tecnologia/...1/?ref=HRER1-1

Chi ha un account si salvi i video che ha caricato e metta i commenti in moderazione.

Io ho levato direttamente l'account, per un video con un centinaio di visualizzazioni tanto valeva farlo e non pensarci più.

[supermario]

ecco perchè quando guardavo i video di gemmadelsud usciva la scritta "gemmadelsud fai schifo"

[floola]

Oggi è stato pure hackerato iTunes... Festa degli hacker!

Siamo messi bene

[Athlon]

Quote:

Originariamente inviato da floola

Oggi è stato pure hackerato iTunes... Festa degli hacker!

Siamo messi bene

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno


Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo

<script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script>


il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario


spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione.

Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite

[Athlon]

Dimenticavo ....


non confondiamo i termini Hacker , Cracker e script Kiddie

[floola]

Insomma, hanno messo una pezza ma non è definitiva. Il problema si può sempre ripresentare.

Quote:

Originariamente inviato da Athlon

Dimenticavo ....


non confondiamo i termini Hacker , Cracker e script Kiddie

Giusto, di solito uso hacker per indicare la categoria buona, mi sono lasciato trasportare da Repubblica.

[das]

Quote:

Originariamente inviato da Athlon

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno


Per la cronaca (ora il baco e' sistemato) il codice incriminato era questo

<script>IF_HTML_FUNCTION?<h1><marquee><font color="red"><u>POOLS CLOSED<script>


il problema stava nel fatto che la scritta <script> venica controllata ma non veniva controllata la scritta IF_HTML_FUNCTION che permetteva di inserire HTML arbitrario


spero per youtube che rivedano la politica di inserimento dei commenti perche' (immagino per questioni di marketing) ora e' impostata come black list (cioe' puoi inserire di tutto eccetto quello che e' filtrato) , questa logica e' insicura per definizione.

Dovrebbero passare alla validazione white list , cioe' non si inserisce nulla a meno che non sia tra le cose consentite

E una cosa così banale è stata scoperta dopo così tanti anni ? Mi pare strano.

[supermario]

e per inciso, il sistema di commenti di youtube, per quanto migliorato, mi fa sempre cagare

[Tensai]

Link a qualche video incriminato o è già stato sistemato?

[ulk]

Quote:

Originariamente inviato da supermario

e per inciso, il sistema di commenti di youtube, per quanto migliorato, mi fa sempre cagare

Attualmente è peggiorato.

[mattia.pascal]

Quote:

Originariamente inviato da Athlon

una banale an HTML injection vulnerability non la chiamerei attacco hacker , la chiamerei semplicemente voglia di risparmio di Google , d'altronde se ti affidi a programmatori filippini da 10$ al giorno il codice che ti arriva sicuramente non ha la stessa qualita' di quello che si paga 300$ al giorno

Tu non hai neanche la piu` pallida idea di quello che dici.

[ciccio er meglio]

mi fate vedere un video hackerato?

[Andreainside]

ovviamente si sa anche chi sia dietro a tutto questo: Anonymous

[floola]

Quote:

Originariamente inviato da Tensai

Link a qualche video incriminato o è già stato sistemato?

Quote:

Originariamente inviato da ciccio er meglio

mi fate vedere un video hackerato?

Credo che ormai è stato tutto sistemato (per ora).

Comunque, se andate nell'articolo di Repubblica c'è un link che rimanda ad alcune immagini di YouTube "modificato".

[supermario]

ma i programmatori di google non erano i + fortunati del mondo? quelli che lavorano in spazi super fighi e fanno il cazzo che gli pare durante tutto il giorno?

quelli di youtube nn hanno avuto lo stesso trattamento?

[Athlon]

Quote:

Originariamente inviato da mattia.pascal

Tu non hai neanche la piu` pallida idea di quello che dici.

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi'

[mattia.pascal]

Quote:

Originariamente inviato da Athlon

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi'

Appunto, software senza errori non ne esiste.

Google non e` certamente un'azienda che fa outsourcing in India per risparmiare. Al massimo riparmiera` sugli autisti che guidano le macchine con le telecamere.

[^TiGeRShArK^]

Quote:

Originariamente inviato da Athlon

Lo so che in teoria Scrum e TDD dovrebbero garantire una qualita' di programmazione costante .. ma purtroppo non e' sempre cosi'

ma anche no.
Scrum è una metodologia di gestione del processo (tra l'altro anche abbastanza "vetusta" visto che il kanban da risultati nettamente migliori), il Test Driven Development invece testa la qualità dei singoli metodi del codice (il singolo metodo è infatti la più piccola unità di codice che è testata negli unit test), ma non dice assolutamente nulla sulla qualità del codice finale.
Infatti, proprio per ovviare a questo problema ora si sta diffondendo sempre di + (nei paesi seri, in italia non si è mai diffuso nemmeno il TDD), il Behaviour Driven Development , in cui il customer scrive direttamente gli acceptance test che i programmatori devono fare passare in modo che il comportamento del sistema sia garantito.

[afterburner]

Quote:

Originariamente inviato da mattia.pascal

Appunto, software senza errori non ne esiste.

Google non e` certamente un'azienda che fa outsourcing in India per risparmiare. Al massimo riparmiera` sugli autisti che guidano le macchine con le telecamere.

Pero' farsi pollare cosi'
Si son fatti pollare da roba piu' semplice di un sql o php injection

Anche a google-youtube conviene sperare e dire che e' colpa di programmatori indiani da 1 centesimo a riga piuttosto che programmatori da 300 euro al giorno senno' sai che figura barbina

[mattia.pascal]

Quote:

Originariamente inviato da ^TiGeRShArK^

ma anche no.
Scrum è una metodologia di gestione del processo (tra l'altro anche abbastanza "vetusta" visto che il kanban da risultati nettamente migliori), il Test Driven Development invece testa la qualità dei singoli metodi del codice (il singolo metodo è infatti la più piccola unità di codice che è testata negli unit test), ma non dice assolutamente nulla sulla qualità del codice finale.
Infatti, proprio per ovviare a questo problema ora si sta diffondendo sempre di + (nei paesi seri, in italia non si è mai diffuso nemmeno il TDD), il Behaviour Driven Development , in cui il customer scrive direttamente gli acceptance test che i programmatori devono fare passare in modo che il comportamento del sistema sia garantito.

Non vale la pena scrivere cose con tante imprecisioni e inesattezze, specialmente in una sezione non tecnica.