di  -  lunedì 16 marzo 2009

Union Jack Secure 

Stiano tranquilli gli abitanti del Regno Unito, il governo non ha subito una dichiarazione di guerra da uno Stato straniero, né sono diventate concrete le minacce terroristiche di cui veniamo spesso a conoscenza tramite i tradizionali organi di informazione.
E’ però un fatto che negli ultimi tempi sia stato proprio il Paese dei Windsor il bersaglio di attacchi più o meno “etici” da parte gruppi di hacker decisi a mettere a nudo la precaria situazione di svariate infrastrutture telematiche.

Cerchiamo di ripercorrere gli eventi che hanno portato a questa escalation nell’ambito della sicurezza informatica.

Il 23 febbraio uno white-hacker di nostra conoscenza ha affermato che il sito della lotteria nazionale inglese era vulnerabile a potenziali attacchi di tipo SQL-injection.
Sfruttando l’utilizzo di un parametro non controllato di cui i DBA ed i progettisti della base dati non hanno evidentemente tenuto abbastanza conto, un malintenzionato può accedere alle registrazioni dei partecipanti al gioco organizzato dalla UK Government’s National Lottery Commission.
Poiché il portale prevede anche l’acquisto di biglietti online la vulnerabilità risulta ancora più grave perché ai dati personali degli utenti si aggiungono anche informazioni sensibili quali i metodi di pagamento previsti.
Nonostante gli screenshot piuttosto indicativi la società Camelot Group plc, titolare della licenza per la gestione del sito ha però smentito che i dati siano stati compromessi.

UK National Lottery hacked

La prima settimana di marzo è stata la volta di uno dei quotidiani storici della tradizione anglosassone, tra i più venduti con quasi un milione di copie al giorno.
Come ormai la quasi totalità della carta stampata, il Daily Telegraph ha deciso di cavalcare l’onda mediatica dell’informazione su Web.
Anche stavolta il protagonista è Unu, l’hacker membro del gruppo rumeno HackersBlog che ha rivelato come la manipolazione dell’URL, in particolare l’aggiunta di alcuni parametri alla stringa che compone solitamente un indirizzo, portasse all’esecuzione di codice arbitrario, fra cui attacchi di tipo SQL injection.
Tra le varie informazioni recuperabili, si è accorto di come una sola tabella contenesse qualcosa come settecento mila indirizzi email di persone che hanno sottoscritto la newsletter; ed è facilmente immaginabile che uso avrebbe potuto fare  di questa risorsa un team specializzato in spamming.
Shane Richmond, Community Editor del Telegraph.uk , rispondendo dalle pagine del blog ha puntualizzato che la falla abbia in realtà coinvolto non il sito principale ma uno dei partner (search.property.telegraph.co.uk ).
Nonostante le rassicurazioni, ci sono due aspetti che vanno sottolineati. In primo luogo, un analista di Trend Micro ha consigliato ai vari utenti registrati di cambiare la propria password sia per quanto riguarda l’accesso al portale sia per l’indirizzo della newsletter.
In secondo luogo, è lo stesso Richmond ad affermare che la vulnerabilità derivava da una porzione di codice mal programmata e vecchia di due anni.
Due anni? Per un quotidiano che ha più di 150 anni di storia dell’informazione alle spalle  ed una certa reputazione nel trattare con rispetto i propri interlocutori non mi sembra una gran gestione del proprio bacino di utenza.

Domani la seconda ed ultima parte di questo breve ma non privo di amare sorprese inizio 2009 per l’IT security inglese.

8 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Antigoriu Masudda
     scrive: 

    **** COMMENTO OFFENSIVO MODERATO ****

  • # 2
    Alessio Di Domizio
     scrive: 

    @ Antigoriu
    Questo genere di umorismo crasso non è coerente con le politiche di moderazione di AD.

  • # 3
    Antigoriu Masudda
     scrive: 

    @ Alessio D.D.
    Il mio non è “umorismo crasso”. Si tratta di esperienze realmente vissute che desidero condividere con altre persone e che racconto con un pizzico di ironia.
    La mia intenzione (del tutto pacifica) è quella di animare un pochino il blog di AD che rischia di passare per un convento di monaci dell’ordine dei carmelitani scalzi.
    Ciao!

  • # 4
    Cesare Di Mauro
     scrive: 

    L’SQL injection è una delle pratiche più diffuse, ma anche più semplici da risolvere.

    Come possono siti così importanti essere affetti da questi errori di programmazione da dilettanti allo sbaraglio?

  • # 5
    Jacopo Cocchi (Autore del post)
     scrive: 

    x Antigoriu

    i commenti e gli spunti di discussione sono sempre i benvenuti, ma il linguaggio non può essere di stampo pecoreccio.
    Non qui perlomeno.
    Per altro il nostro obiettivo è quello di cercare di fare un po’ di informazione, stimolando dibattiti ed ascoltando i vostri punti di vista, non quello di fare spettacoli da Zelig.

    x Cesare

    eppure sembra che queste vulnerabilità siano oltremodo diffuse. Ed è un bene per gli enti ed aziende coinvolte che siano state rese note da gruppi di hacker etici altrimenti i disservizi, furti di identità e danni da 6 zeri sarebbero stati la normale conseguenza di queste disattenzioni.
    E’ dura stabilire colpe dal punto di vista legale per gli sviluppatori perché non ci si può aspettare un software bugless, ma è altrettanto vero che agli errori da principiante, io cittadino, mi aspetterei che qualcuno li paghi.

  • # 6
    Botty
     scrive: 

    le iniezioni sono a un livello quasi preoccupante, esaminate nell’ottica del rapporto banalita`/potenzialita` di danno…

    Io come cittadino mi aspetterei comunque che i danni derivantimi da un data leakage di un sito (comunque si sia verificato) siano coperti dai proprietari/responsabili del sito stesso. Non conosco la legislazione punto per punto, ma mi pare che sia cosi` anche per legge… E` da quel punto “in su” che inizia il marasma e il balletto delle responsabilita`…

  • # 7
    L’Inghilterra è sotto attacco - parte 2 - Appunti Digitali
     scrive: 

    […] Ieri abbiamo cominciato questa sorta di excursus su alcuni dei più recenti ed importanti avvenimenti per quanto riguarda la sicurezza IT ed in particolare, quella anglosassone Proseguiamo dunque sulla stessa falsariga il nostro percorso. A distanza di un paio di giorni dall’attacco subito dal Daily Telegraph, fa il giro del mondo un’altra notizia. Alcuni ricercatori di AVG (la società nota soprattutto per AntiVir) scoprono porzioni consistenti del sito dello Spelthorne Borough Council profondamente modificate e recanti il chiaro segno di più attacchi informatici. Al posto delle sezioni originali è visibile nell’immagine sottostante la firma della crew responsabile, con tanto di contatti; in più, se i più scettici avessero voluto pensare ad un errore interno, il redirect automatico verso un provider turco di servizi li avrebbe definitivamente convinti. […]

  • # 8
    Il team HackersBlog abbandona la scena - Appunti Digitali
     scrive: 

    […] alla ribalta dai media ed addetti ai lavori e a cui va il ringraziamento del team stesso. I casi, Daily Telegraph, British Telecom e UK National Lottery hanno dimostrato come molte realtà importanti, incluse le […]

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.