Questo gruppo di hackers d'elite, in diretta dalla TV tedesca MDR nel programma finanziario "PlusMinus", ha dimostrato come può essere facile usare un controlloActiveX per compiere trasferimenti di denaro da un deposito bancario ad un altro all'oscuro di chi compie le operazioni bancarie, senza alcun codice (PIN) di identificazione.
Vediamo di seguirli passo a passo. Si sono collegati al loro sito web dove hanno scaricato il sw ActiveX preparato su un computer in studio. Una volta attivato, questo ha controllato la presenza sul disco di un famoso software finanziario (Quicken) della Inuit; trovatolo ha creato un ordine di trasferimento denaro su un altro conto e lo ha aggiunto agli ordini regolarmente imessi (e passati al vaglio dei controlli del programma e autenticati con il codice opportuno). Non appena l'utente si è collegato alla propria banca per fare eseguire qualche pagamento, a sua insaputa, è avvenuto un illecito trasferimento. Quicken ha circa 9 milioni di utenti attivi nel mondo!
Questo show di Chaos ha sollevato grande indignazione fino a fare gridare al comportamento antisociale e la Microsoft ha cercato di difendersi dichiarando che quello che è stato mostrato dovrebbe mettere in guardia chiunque da scaricare allegramente controlli ActiveX da fonti sconosciute e non "firmati", una possibilità offerta da questo codice tramite la funzione definita Authenticode.
La realtà è che molti esperti ritengono che il metodo usato usato da ActiveX lo rende insicuro per gli utenti . Mentre le funzioni Java (applets) non permettono di compiere sul computer di chi le usa operazioni dannose (quali la cancellazione di file) le funzioni ActiveX (controlli) permettono a chi le ha create di fare qualsiasi cosa sul vostro computer. Java ha quindi eretto un muro invalicabile attorno ai propri applets che evita qulsiasi sconfinamento nell'illecito, mentre ActiveX si affida ad un sistema di autenticazione, permettendo ai creatori di controlli di marcare con il proprio codice cifrato (indelebile) le proprie opere. Se un controllo compie danni ai vostri dati è possibile risalire all'autore. Ci si affida quindi ad una logica che non prevede protezioni ma possibilità di risalire al colpevole!
Visto che comunque la decisione di accettare codice non firmato l'utente la deve prendere ogni volta che scarica un controllo ActiveX, può succedre che per sbaglio o per noia accetti software anonimo, come il programma creato da Chaos che con questa iniziativa ha voluto mostrare i pericoli della soluzione ActiveX, in un momento in cui la rete spera nella crescita del commercio elettronico, e vuole contrastrare le scelte non ragionate degli utenti fatte solo perchè Bill è il più ricco o perchè Microsoft è la più famosa.
CONCLUSIONE
· La Microsoft si è impegnata a una grande campagna di sensibilizzazione per dire: non prendete caramelle dagli sconosciuti.
· La Intuit avverte i propri utenti di usare prudenza e buon senso quando usano un browser (come Internet Explorer) che permette di usare ActiveX
· Ma Chaos Computer Club avverte: Hey Microsoft, non siamo ancora finiti!
· E qualcuno, sull'onda della moda degli X-Files ha creato il simbolo qui a fianco per indicare che il proprio sito non attiva i controlli ActiveX, del tipo "se lo conosci lo eviti".