Quantcast
Articoli

Il worm di MySpace che ha cambiato internet per sempre

Dieci anni fa, poche righe di codice hanno regalato ad un hacker un milione di nuovi amici e una visita dei federali.

Samy non voleva essere l'eroe di nessuno. Non voleva neanche nuovi amici.

Ma grazie a qualche riga di codice ben congegnata, in meno di un giorno, è diventato "amico" nonché "eroe" di più di un milione di persone su quello che all'epoca era il social network più popolare di tutti: MySpace.

Era circa la mezzanotte del 4 ottobre 2005 a Los Angeles, quando Samy Kamkar, un hacker diciannovenne, immise in rete quello che venne battezzato come "Samy worm," forse il virus più veloce mai creato, che ha cambiato il mondo della sicurezza web per sempre.

Kamkar, che aveva abbandonato la scuola a 16 anni per fondare l'anno seguente una startup specializzata in software chiamata Fonality, sostiene che voleva semplicemente impressionare i suoi amici esperti di tecnologia, niente di più. Tutto iniziò circa una settimana prima. All'epoca, MySpace concedeva agli utenti ampia libertà di personalizzazione, ammettendo l'utilizzo di un codice HTML aggiuntivo per produrre profili coloratissimi ma spesso molto pesanti per i browser.

"Mi sono reso conto che potevo fare praticamente qualsiasi cosa con il codice del sito."

Nonostante questo, non si poteva personalizzare proprio tutto su MySpace. Ad esempio, gli utenti potevano caricare al massimo 12 foto. Esisteva un modo per superare questo limite? Kamkar iniziò a smanettare con il codice, cercando di ottenere ciò che il sito non consentiva. Presto trovò la soluzione e caricò 13 foto .

Gli utenti avevano poche scelte a disposizione anche nel campo dei "relazioni". C'era solo un menu con delle opzioni standard: sposato, single, coinvolto in una relazione e poco altro. Kamkar, che era fidanzato, voleva che venisse visualizzato "in un rapporto focoso." Smanettando ancora un po', riuscì anche in questo.

"Fatto anche quello, mi sono reso conto che potevo fare qualsiasi cosa con il codice del sito," ha raccontato a Motherboard, rievocando quella fatidica notte.

Samy Kamkar lavora al computer nella sua casa di Los Angeles. Immagine: Motherboard.

Durante la settimana successiva, Kamkar lavorò a uno script invisibile per ogni altro altro utente, che avrebbe costretto chiunque avesse visitato il suo profilo ad aggiungerlo come amico. Inoltre sotto la categoria "eroi" sarebbe stata visualizzata la frase: "ma più di tutti, è Samy il mio vero eroe." Kamkar si rese conto che se lo script avesse colpito solamente i visitatori della sua pagina avrebbe raggiunto pochissime persone, così lo programmò in modo tale da auto-replicarsi sul profilo dei visitatori.

A quel punto, aveva creato un worm auto-replicante.

"Credevo che in un mese avrei ricevuto 100 o 200 richieste di amicizia", si è giustificato Kamkar. "Alcuni si sarebbero lamentati, io gli avrei tolti dagli amici e fine. Niente di che."

Il mattino seguente si svegliò con 200 richieste di amicizia. Fu allora che andò in paranoia, perché il worm si stava diffondendo molto più velocemente di quanto pensasse. Un'ora più tardi, le richieste erano raddoppiate continuando ad aumentare in maniera esponenziale. A quel punto, Kamkar sostiene di avere spedito una mail anonima a MySpace, segnalando il worm e specificando un metodo per fermarlo, ma nessuno rispose e, tutt'oggi, non sa se qualcuno l'abbia mai letta per davvero.

Alle 13:30, aveva accumulato più di 2.500 amici e oltre 6.000 richieste .

"La cosa è andata fuori controllo. La gente mi scrive dicendo che mi ha segnalato come 'hacker' perché si è ritrovata il mio nome nella lista degli eroi personali," scriveva Kamkar sul suo blog quella sera, raccontando cos'era successo." A quanto pare la gente si sta incazzando perché, anche se mi toglie dagli amici, visualizzando la pagina di qualcun altro o la propria vengono re-infettati dal mio virus. Vinco sempre io".

"Spero che nessuno mi faccia causa" ha aggiunto Kamkar.

Qualche ora dopo, Kamkar andò a mangiarsi un burrito da Chipotle per poi tornare a casa a controllare di nuovo il suo profilo MySpace. A quel punto aveva ricevuto quasi un milione di richieste di amicizia .

Una schermata del profilo MySpace di Kamkar del 5 ottobre 2005. Immagine: Samy Kamkar

"È ufficiale: sono diventato famoso," scrisse nel suo blog .

Poco prima che MySpace andasse fuori uso, la quantità di richieste oltrepassò il milione. La società venne costretta a lasciare il sito offline per capire cosa stava succedendo ed eliminare il worm.

"Mi sentivo una persona orribile. Stavo veramente male," racconta Kamkar. Ma non c'era niente che avrebbe potuto fare a quel punto: una volta immesso il worm era già troppo tardi, visto che si diffondeva da solo. Dopo circa due ore il sito tornò online. Il suo profilo era stato eliminato .

Kamkar a una conferenza sulla sicurezza per la Black Hat a Las Vegas, nel 2010. Immagine: Dan Tentler

Kunal Anand, che un paio di mesi dopo l'incidente divenne direttore della sicurezza di MySpace, dice che al momento in cui il "Samy worm" colpì, la compagnia non disponeva praticamente di "nessun team di sicurezza" e che "non aveva idea di come agire."

Nessuno aveva mai avuto a che fare con qualcosa di simile. E`stato un "momento di svolta per l'intera industria del web," racconta Anand.

Jeremiah Grossman, esperto di sicurezza web e fondatore dello studio WhiteHat Security, sostiene che il Samy worm è stato "quel genere di momento che ogni esperto nel settore aspettava."

Il worm di Kamkar, nonostante la sua rapida diffusione, era innocuo: quello che faceva era semplicemente ottenere richieste di amicizia e aggiungere qualche riga sui profili delle persone infette. Ma se Kamkar fosse stato un criminale o un malintenzionato, avrebbe potuto prendere il controllo completo degli altri account. Per usare le parole di Grossman, Kamkar "ha avuto la possibilità di fare quello che voleva."

La tecnica di attacco utilizzata dal giovane hacker è nota come cross site scripting, spesso abbreviata in XSS, che prevede l'immissione di codice malevolo in un sito costringendolo ad eseguirlo assieme al browser adoperato dagli utenti. Secondo Grossman, gli esperti di sicurezza del web erano consapevoli della possibilità di attaccare la maggior parte dei siti nel modo in cui ha fatto Kamkar, ma nessuno prese sul serio questo genere di minaccia sino alla comparsa del Samy worm.

"[Samy] ha cambiato la nostra industria per sempre."

"All'epoca si sottovalutò questo genere di vulnerabilità. Sapevamo che ogni sito aveva questo falla, ma nessuno aveva davvero dimostrato sul serio come sfruttarla," ha raccontato Grossman. "Samy lo ha fatto, cambiando per sempre l'industria."

Al momento della comparsa del Samy worm, dal 80 al 90 percento dei siti erano vulnerabili ad attacchi simili, spiega Grossman. La questione ha ricevuto così tanta attenzione che l'Open Web Application Security Project lanciò un progetto per creare una API che consentisse agli utenti di utilizzare il codice all'interno delle proprie pagine senza esporsi ai rischi degli XSS—che prese il nome di AntiSamy Project.

Dieci anni dopo, secondo i dati raccolti dalla WhiteHat nel 2015, solo il 47 per cento dei siti web sono esposti allo stesso tipo di vulnerabilità. Se non fosse stato per il worm di Kamkar, il problema potrebbe essere più diffuso.

Negli anni seguenti, i siti web e i browser si sono aggiornati per fronteggiare il cross site scripting, eppure sono avvenuti lo stesso vari attacchi degni di nota: ad esempio, nel 2013 moti account di posta elettronica degli utenti di Yahoo sono stati violati, l'anno scorso invece degli hacker hanno trovato un bug vulnerabile agli XSS in Tweetdeck che ha permesso loro di produrre fastidiosi pop-up, infine all'inizio di quest'anno, grazie ad una vulnerabilità agli XSS, qualcuno è riuscito a prendere il controllo di un blog WordPress con un solo commento.

Nonostante le sue intenzioni innocue e il post che aveva pubblicato sul suo blog per spiegare perché aveva creato il Samy worm, Kamkar è finito ugualmente nei guai con la legge.

Sei mesi dopo aver diffuso il virus, i Servizi Segreti e la Electronic Crimes Task Force della Polizia di Los Angeles ottennero un mandato per perquisire il suo appartamento e il suo ufficio. Le autorità sequestrarono il suo portatile, tre computer e altri dispositivi come dischi rigidi. Il procuratore distrettuale di Los Angeles prese provvedimenti nei suoi confronti, accusandolo di reati informatici, in particolare di aver infettato sistemi informatici con un virus, secondo il codice penale della California.

"È stato spaventoso", ricorda Kamkar. "Non avevo nemmeno il diploma, quindi ero davvero nei guai se mi portavano via i computer. Erano praticamente tutto quello che avevo."

"I computer erano tutto quello che avevo."

Per un anno intero, l'avvocato di Kamkar e i pubblici ministeri lavorarono alla negoziazione di un patteggiamento. Kamkar non finì in prigione, ma si dichiarò colpevole e venne condannato a tre anni di libertà vigilata praticamente senza accesso al computer. Gli era consentito utilizzare un solo computer sorvegliato dalle autorità che non forniva accesso a internet, ricorda Kamkar.

Gli venne concesso di continuare a lavorare nella sua startup ricoprendo solo un ruolo manageriale e venne persino invitato a conferenze e talk per parlare del suo worm. Nel 2007, durante la conferenza OWASP & WASC AppSec, incontrò Grossman e un suo amico, Robert Hansen, che si erano presentati con delle T-shirt personalizzate con la scritta "Samy è il mio eroe". (Magliette simili possono essere acquistate ancora oggi online).

Immagine: Jeremiah Grossman

Grazie all'impatto positivo avuto sul mondo della sicurezza web, spiega Grossman, Kamkar non è stato punito duramente. Tre anni dopo l'attacco, nel 2008, la sua pena venne sospesa. La prima cosa che fece, ha ricordato l'hacker, è stata quella di dirigersi all'Apple Store di Santa Monica e acquistare un portatile. Poi andò nel più vicino Starbucks per connettersi a internet .

Ma dopo tre anni offline, "non sapevo nemmeno dove andare", dice. Perciò visitò un paio di siti, non MySpace, dice ridendo, trascorse dieci minuti su internet e poi se ne andò a trovare alcuni amici .

Kakmar ricorda che prima dei fatti del worm era "molto introverso e timido", così "i tre anni passati lontano dal computer sono stati davvero qualcosa di buono, ero il genere di persona perennemente al computer e mi hanno concesso di fare altre cose."

Una volta tornato online, tuttavia, Kamkar aveva un sacco di idee su cosa hackerare e su alcune nuove tecniche per farlo. Ne ha dimostrate alcune nel 2010, nel sua prima talk all'interno del famoso convegno dedicato al mondo dell'hacking il DEF CON di Las Vegas.

Da allora, ha lasciato la sua startup e ha iniziato a fare hacking in giro, dimostrando che Google, Apple e Microsoft monitorano i loro utenti, creando dispositivi per dirottare automaticamente droni, aprire auto e garage, tutto per ottenere maggiore attenzione alla sicurezza e alla protezione dei clienti da parte delle aziende. Le sue imprese spettacolari, così come il suo talento naturale nel rendere il mondo dell'hacking e della sicurezza accessibile anche ai profani, lo hanno reso un personaggio di rilevo nella comunità degli hacker.

Oggi, se potesse tornare indietro, Kamkar probabilmente non rilascerebbe il worm anche se gli ha concesso di diventare famoso e di sperimentare l'esperienza benefica di stare lontano dai computer per tre anni.

Ad ogni modo, internet è un luogo migliore grazie al Samy worm. Quindi, in un certo senso, Samy è davvero un eroe .

Illustrazione: Shaye Anderson