Defacing: problematiche di sicurezza



I casi di defacing nella storia del WEB non si contano: si tratta di attacchi a siti (tipicamente istituzionali) che prevedono lo sfruttamento di una falla nel portale WEB allo scopo di sostituire la index page del sito con una propria, per ragioni ideologico-politiche o per motivi “etici” (segnalare bug o falle nella sicurezza dei sistemi). Il sito delle Poste Italiane, com’è noto, è stato preso di mira per almeno due volte in tal senso (settembre ed ottobre 2009), a causa di un problema che permetteva a dei malintenzionati di visionare dati estremamente riservati, comprensivi di password.

Fortunatamente, a quanto pare, i dati “sensibili” degli utenti erano dislocati altrove, e sembra improbabile che siano riusciti ad arrivarci.

20091017poste_defacement1

Le preoccupazioni degli utenti crescono, nonostante la relativa “superficialità” dell’attacco in questione. Qui non si tratta soltanto di modificare la prima pagina mentre “i nostri dati sono al sicuro”: se si gira un po’ sul web, è facile imbattersi in blog che spiegano dettagliatamente e di continuo nuove debolezze. Del resto anche se i dati sensibili fossero criptati tramite hash, da quest’ultimo è spesso possibile risalire alla parola chiave in chiaro ricercando su opportuni database. Per evitare questa facile “invertibilità”, per la cronaca, si usa a volte accodare un gruppo di bit casuali alla password (salt), in modo da complicare un eventuale processo di reverse-engeneering basato su dizionario. Questa procedura naturalmente è impensabile che venga fatta da ogni singolo utente: bisognerebbe allora investire su una maggiore sicurezza informatica, e non trattare queste questioni con superficialità: in fondo, ne va della prosecuzione, credibilità e vita stessa di questi servizi.

Sono anche i nostri servizi, ricordiamo, ed abbiamo almeno il diritto, tra mille doveri, di stare tranquilli quando li utilizziamo.

I “violatori” del sito delle poste, comunque, piuttosto che fare vandalismo e furti, fortunatamente si sono affrettati a pubblicizzare il problema con gli utenti, e soprattutto rivolgendosi ai gestori del portale. Stando a quanto riportato sulle varie fonti (più o meno attendibili), si sarebbe trattato di una SQL-injection realizzata con un banale software reperibile dal WEB. La faccenda è stata trattata, a mio modesto parere, con una certa trascuratezza (prima e dopo), e senza dare l’opportuna risonanza al pericolo ed alle contromisure atte a svolgerlo. Ci si è affrettati a dire che va tutto bene, e tanti saluti: troppa poca chiarezza, in breve.

Non sembra chiaro poi, come spesso accade in casi simili, se effettivamente sia stata mantenuta la riservatezza dei dati: è vero che il defacing è un attacco meno grave di altri, sta di fatto che per gli utenti di Poste Italiane cambiare comunque la propria password deve essere sembrata una buona idea. L’azienda ha garantito che nessun problema è stato rilevato a questo livello, e non ce la sentiamo di fare dietrologie: salvo che ci “dispiacerebbe” un giorno trovare i nostri conti online prosciugati a causa dell’imperizia e della trascuratezza di chi, forse, dovrebbe fare il proprio lavoro con maggiore attenzione a queste tematiche.

Fonti:

blogspot.com/2009/10/posteit-defacement.html (il primo, pare, a segnalare la falla)

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
Pinterest