Attacco al sito delle Poste: i retroscena

12 ottobre 2009 § Lascia un commento

“Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti”.

Così inizia il comunicato stampa che rassicura gli utenti del portale di Poste Italiane dopo il defacement subito sabato scorso.
La sicurezza di un sito o una applicazione Web è una faccenda complessa. Sono tante le variabili da tenere presenti, in un ambiente (Internet) aperto a tutti 24 ore su 24: possibili bug dei vari componenti del sistema, possibili falle della loro combinazione, possibili errori umani. Insomma, non è mai possibile garantire una sicurezza al 100%. La parola d’ordine è monitorare e stare all’erta per intercettare qualsiasi segnale anomalo.

Come responsabile di alcune applicazioni Web attive per alcuni clienti mi interessa capire l’aspetto tecnico dell’avvenuto attacco.
Spulcio un po’ in giro per la rete per trovare qualcosa, ma la maggior parte delle notizie sono di tipo “giornalistico”, con gli immancabili strafalcioni tecnici.

Ad un certo punto mi imbatto in un articolo dal titolo “Poste Italiane hacked, sql injection” datato 5 settembre 2009.
L’articolo spiega come il sito di Poste Italiane sia vulnerabile, documentando il tutto con tanto di screenshot che fanno vedere alcuni dettagli tecnici del sistema e del database.
L’autore (che si firma unu1234567) sostiene di avere avvertito Poste Italiane della vulnerabilità, ma di non aver ricevuto alcuna risposta.

Vorrei sottolineare che la vulnerabilità riguarda non le “paginette” Web del sito istituzionale di Poste Italiane, cioè quelle che sono state oggetto dell’attacco di sabato scorso, ma del database in cui si trovano i dati degli utenti!
Questo vorrebbe dire che se i dati degli utenti non sono stati toccati dall’attacco non è perchè erano in una botte di ferro, ma semplicemente perchè chi ha messo in atto l’attacco avevo soltanto un’intenzione dimostrativa.

Il punto è: come mai i supertecnici di Poste Italiane hanno ignorato l’avviso che unu1234567 aveva inviato circa un mese fa? Avevano qualcosa di più interessante da fare? Il loro sistema anti-spam/anti-phishing ha intercettato l’unica e-mail utile?

Pensandoci bene, il fatto che la segnalazione venga ignorata non dovrebbe sorprendermi più di tanto. Il caso della Marina Militare dopo più di due anni è ancora lì, nonostante il mio inutile avviso…

Credo che il fattore U continui a metterci lo zampino nella sicurezza di un sistema informatico. Al di là delle vulnerabilità tecniche che possono esserci, l’intervento umano (o il suo mancato intervento) è spesso il fattore fondamentale a determinare la reale sicurezza dei sistemi.

Annunci

Tag:, , , ,

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Che cos'è?

Stai leggendo Attacco al sito delle Poste: i retroscena su Andrea Chiarelli.

Meta

%d blogger hanno fatto clic su Mi Piace per questo: