di  -  martedì 17 marzo 2009

 Union Jack Secure

Ieri abbiamo cominciato questa sorta di excursus su alcuni dei più recenti ed importanti avvenimenti per quanto riguarda la sicurezza IT ed in particolare, quella anglosassone
Proseguiamo dunque sulla stessa falsariga il nostro percorso.

A distanza di un paio di giorni dall’attacco subito dal Daily Telegraph, fa il giro del mondo un’altra notizia. Alcuni ricercatori di AVG (la società nota soprattutto per il proprio antivirus) scoprono porzioni consistenti del sito dello Spelthorne Borough Council profondamente modificate e recanti il chiaro segno di più attacchi informatici.
Al posto delle sezioni originali è visibile nell’immagine sottostante la firma della crew responsabile, con tanto di contatti; in più, se i più scettici avessero voluto pensare ad un errore interno, il redirect automatico verso un provider turco di servizi li avrebbe definitivamente convinti.

uk-government-website-hacked-twice-3_480px.jpg

Stando alle versioni tenute in memoria dalle cache dei più grossi motori di ricerca, i defacement sarebbero stati almeno due, con un continuo botta e risposta tra webmaster ed hacker.
Considerato che la gestione sia governativa e la frase in bella vista nella homepageSpelthorne Borough Council Providing quality services to the people of… “, l’apparato statale inglese non fa esattamente una bella figura.

Last but not least, come direbbero proprio gli anglosassoni, per concludere questa ecatombe manca la ciliegina sulla torta, uno dei simboli del livello di industrializzazione e avanzamento tecnologico inglese, ovvero British Telecom.
Il famoso operatore telefonico, il quale conta ormai conta una varietà di servizi ed interessi da vera e propria multinazionale del settore (attivo in 170 Paesi nel mondo), sarebbe risultato esposto allo stesso tipo di conseguenze evidenziate nei casi precedenti.
Lo sfruttamento di questa vulnerabilità avrebbe portato, sempre secondo Unu, alla potenziale esposizione delle credenziali per l’accesso degli utenti registrati.
Se consideriamo la tipologia di offerte e la distribuzione su vasta scala risulta chiaro che la portata di una problematica di questo tipo sia enorme; ironia della sorte tra le attività dispone anche di una sezione per prodotti di IT security, ricordando una certa affinità con l’episodio Kaspersky.

L’unica nota positiva è che a differenza del Telegraph le password non erano visibili sottoforma di plain text ma criptate in chiavi di tipo hash.
BT si è affrettata nel rispondere che, seppur le informazioni siano state prese in seria considerazione, si è trattato di un attacco ad un server utilizzato per il beta-testing per cui, come tutti i prodotti non finiti, fosse esente dal tenere traccia di dati sensibili bensì contenesse dati fittizi.

Rik Ferguson, solution architect TrendMicro già contattato in merito al caso Telegraph, ha però scritto questa frase sul suo blog , mostrando non poco scetticismo di fronte alla posizione assunta dalla British Telecom:

I certainly don’t have any visibility of which systems or databases were compromised, but I can confirm, through my own research, that the information made visible through the compromise is real, valid and belongs to individuals not directly employed by British Telecom. –


Nel frattempo il team Hackersblog non solo ha ribattuto alla tesi “minimalista” della compagnia inglese ma ha addirittura rilanciato il problema. Nell’aggiornamento della vicenda, viene evidenziata un’altra vulnerabilità, che affligge questa volta il sito http://www.comparebroadband.bt.com/compare.asp, sezione dedicata alla comparazione delle varie offerte di connettività del provider anglosassone.
Nello specifico si tratta di un problema legato ad una blind SQL injection; la particolarità di questa tipologia risiede nel tipo di risposta che non restituisce un set di informazioni utili all’attaccante (quale può essere la versione del web server utilizzato, le patch o il sistema operativo su cui risiede), bensì una pagina generica, solitamente una maschera default voluta dallo sviluppatore.
Poiché la risposta varia dal tipo di operazione logica usata nel costruire la query spesso si adottano strumenti di automatizzazione che facilitano il recupero delle informazioni.
La nota negativa è che oltre al danno dei dati sensibili si aggiunge anche la beffa della possibile assenza di servizi poiché questi tool agiscono secondo un meccanismo simile al bruteforce e rischiano di saturare le risorse sia connettive che computazionali della macchina adibita all’immagazzinamento dei dati.

Questa vulnerabilità seppur più complessa per poter essere sfruttata garantisce l’accesso a molte informazioni; secondo Unu sarebbero 37 i database a rischio, tra cui, in particolare, quello denominato “BT” il quale conterrebbe i dati personali e di login dei vari utenti.
Il team rumeno sottolineando l’importanza del problema ha però rimarcato anche la volontà di collaborazione da parte dei dipendenti della telco inglese, con la speranza che gli altri competitor, i quali versano nelle medesime condizioni, siano altrettanto disponibili a voler migliorarsi.

Sono passati dunque poco più di due mesi e mezzo dall’inizio dell’anno e pare che gli inglesi abbiano fatto già il pieno. Ma attenzione a lavarsi le mani perché se Atene piange, Sparta non ride.
Il nostro Alberto Trivero ci ha illustrato pochi giorni fa come il 2008 sia stato un anno nero dal punto di vista della sicurezza.
E non possiamo far finta che i problemi dei nostri colleghi esteri non riguardino anche noi.
Ormai la connettività ha raggiunto un tale livello e le compagne sono così ramificate e con interessi in tutti i Paesi del mondo che le falle dei sistemi altrui sono anche nostre falle.
Se non ci conviciamo che il problema della sicurezza debba essere affrontato non solo guardando al nostro orticello ma fornendo strategie e politiche a 360° (a partire dall’alfabetizzazione informatica), i danni si faranno sempre più estesi, anche perché non possiamo sperare che siano sempre gruppi di white hat a fare le pulci ai nostri sistemi.

A questo proposito consiglio in ultima battuta la lettura dell’intervista fatta proprio al team HackersBlog dopo gli attacchi e relative vulnerabilità  dei vari Kaspersky, BitDefender, Symantec&co. rese note pubblicamente attraverso le pagine del loro sito.

9 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    madmodmike
     scrive: 

    Piccolo refuso: AVG (ex Grisoft) produce l’omonimo antivirus, Antivir invece è prodotto dalla tedesca Avira.

  • # 2
    Cristian
     scrive: 

    > ?!?!?!?!? non sapevo che Avira fosse una sussidiaria di AVG.

  • # 3
    Antigoriu Masudda
     scrive: 

    …..prova 123 ….. prova 123

  • # 4
    Antigoriu Masudda
     scrive: 

    IGNORARE IL COMMENTO PRECEDENTE.
    Si tratta di una “prova” in quanto ieri pomeriggio ho avuto dei problemi ad inserire i commenti nel blog.

    Grazie.

  • # 5
    Jacopo Cocchi (Autore del post)
     scrive: 

    x madmodmike

    lapsus freudiano, grazie della segnalazione :)

    x Antigoriu

    i problemi li hai avuti perché i tuoi commenti come già ti era stato detto non erano in linea con la netiquette.
    Senza offese personali e linguaggio da bar i commenti vengono pubblicati, come sempre.

  • # 6
    Antigoriu Masudda
     scrive: 

    @ Jacopo C.
    OK. Grazie per avermi concesso una seconda possibilità e scusa se alcune mie affermazioni ti hanno offeso.

    Dopo essere stato “radiato” (a titolo definitivo) da Yahoo Answers, e “rinnegato” dalle principali chat-line dell’emisfero boreale, temevo di seguire lo stesso destino anche su Appunti Digitali.

    In futuro i miei commenti su AD saranno corretti e costruttivi.

    Ciao.

  • # 7
    Jacopo Cocchi (Autore del post)
     scrive: 

    non c’è problema, i commenti costruttivi sono assolutamente i benvenuti. :)

    Ad integrazione della notizia, questa notte è stato pubblicato un altro articolo, in merito all’opera del team HackersBlog.
    Stavolta protagonista in qualche modo è anche il BelPaese perché la società coinvolta è l’italiana Tiscali, seppur il sito attaccato sia della divisione inglese (Tiscali è presente in buona parte dell’Europa come service provider/telco).
    Nell’intervista Unu e soci avevano assicurato che si trattava di una campagna di sensibilizzazione senza bandiere e alle parole stanno seguendo i fatti.

  • # 8
    Antonio
     scrive: 

    Ma mi chiedo perchè invece di spendere tanti soldi e risorse alla ricerca della “sicurezza informatica”, che in realtà è solo un vana illusione, non si spenda qualcosa per ELIMINARE (in senso lato) chi procura dei danni. Se esistono le medicine per le malattie…

  • # 9
    Aggiornamenti Conflicker: Parlamento inglese, vaccini, nuove mutazioni - Appunti Digitali
     scrive: 

    […] di Sua Maestà la Regina non trovano quindi pace; dopo il caso del Spelthorne Borough Council che abbiamo documentato a metà marzo i malware entrano nel cuore della vita politica anglosassone. La notizia trapelata da […]

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.