Il giorno 14/ott/09, alle ore 00:08, Gian ha scritto:
On 13.10.09, 18:24, Lorenzi Alessandro wrote:
"È solo un 'defacement' che riguarda il sito informativo di
Poste.it.
Non sono stati violati i server con i dati personali degli utenti,
che
quindi non sono mai stati in pericolo"
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Sinceramente non lo vedo poi cosí improbabile. Mettere in sicurezza
un
asset ha un costo e i livelli di sicurezza sono diversi.
Probabilmente
il server con i dati dei clienti é diverso dal server web, con un
livello di sicurezza ben piú alto. (per lo meno... lo spero)
se non fosse che hanno defacciato l'interfaccia che gli utenti hanno
a disposizione per fare login, bancoposta, gestire il propio conto...
(cito dal sito stesso, pulsante di login: "accesso ai servizi per
privati e business")
Cerco di correggerti... hanno defacciato una pagina di un "sito
web"... dalle informazioni "pubbliche" non si sa' nemmeno se hanno
effettivamente "bucato" un servizio (apache, etc).... o se si e'
trattato di un banale XSS....
Non riesco a vedere i limiti che dovrebbero farmi pensare che i
dati
degli utenti non sono mai stati in pericolo: probabilmente non lo
sono
stati quel giorno con quel defacement il cui scopo era piuttosto
chiaro,
ma se le intenzioni degli hackers di turno fossero state
diametralmente
opposte? Parliamo dell'ABC su come si possono sfruttare
vulnerabilita'
per fare danni o, come nel caso specifico, rubare dati/euri/altro...
secondo me stai banalizzando un po' la cosa. Far uscire una "popup"
con dentro un po' di righe di testo e' ben diverso da riuscire a
"entrare" nei sistemi di poste... e la realta' e' un po' diversa del
film "HACKERS"....
chi ha avuto a che fare con clienti di quel livello sa' benissimo di
cosa stiamo parlando. Avere in mano uno 0day o un vecchio exploit (non
fa molta differenza) ti garantisce al massimo di ritrovarti su qualche
istanza di reverse proxy in front-end, dove troverai al massimo
qualche jpeg, gif, e se sei fortunato qualche html con contenuti
statici....... se vuoi passare agli altri "tier" per arrivare ai
database (ammesso che tu sappia effettivamente come sono distribuiti i
dati e "dove" si trovano fisicamente, e di passare tutti i firewall
che servono) devi avere delle conoscenze specifiche delle architetture
dei vari ambienti per sapere come distribuiti i dati..... non penserai
mica di poter fare "CONNECT / as SYSDBA; SELECT
PIN,ID_BANCOMAT,COGNOME from CONTI_POSTALI"???? :)....e anche se hai
quelle informazioni perche' ti sei "messo a rovistare nella
spazzatura".... hai idea del livello di policy e monitoraggio a cui
sono sottoposti quei sistemi, o pensi di poter entrare con un ssh -l
oracle DATABASE e provare con "oracle" o "password" (per giunta dalle
macchine di front-end)?
L'unica giustificazione (piu' o meno condivisibile) per una frase del
genere e' solo di tipo "mettiamoci una pezza lato comunicazione alle
masse"... che in italia, come i "fatti ci cosano", pare funzionare
benissimo a tutti i livelli da un po di anni a questa parte.
Io credo che il problema e' che come al solito le aziende come poste
cercano di fare "security through obscurity", ottenendo come
risultato, da un lato "POSTE" che riesce a rassicurare il cittadino
medio spiegando che non e' successo niente... e dall'altro i cittadini
un po' piu' svegli che, "spaventati" dalla mancanza di informazioni,
pensano che tanto quelli di poste sono incompetenti, che in italia le
cose si fanno "all'italiana", che magari ancora si usa il telnet, e
che le applicazioni le scrivono i portalettere in php (con tutto il
rispetto per il mestiere) e siamo rimasti ai tempi di "spaghetti
hacker".
Se vi stracciate le vesti per un banale defacement ...
rischiate di porre le basi per situazioni paradossali come quella di
Stasi (Omicidio Garlasco) in cui chi dovrebbe rispondere di fronte ai
giudici sono coloro che hanno fatto le prime perizie sul PC.... O
peggio ancora come McKinnon, che rischia di essere deportato negli
stati uniti per aver "giocato" con samba su dei PC con IP pubblico e
senza firewall :).....e udite udite.... la sua viene addirittura
definita come la "piu' grande intrusione informatica di tutti i tempi".
My 2 cents.
giobbe
my 0.002 cent,
--
Gian
member of A.G.O.W. #C10771
and orgoglione to be!
:(){ :|:&};:
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
