L'Istat e le mutande al vento (*aggiornamento*)
L'istituto lascia le proprie porte Web un po' troppo aperte. Un buon esempio di come si trascura la sicurezza nella pubblica amministrazione. La segnalazione di Zeus News ha successo.
[ZEUS News - www.zeusnews.it - 15-02-2005]
![[logo istat spezzato]](https://www.zeusnews.it/img/3/5/8/3/0/0/003853-logoistatrotto)
Nota: A fine articolo è stato aggiunto un aggiornamento che tiene conto degli sviluppi verificatisi dopo la pubblicazione iniziale.
L'Istituto Nazionale di Statistica rende pubblicamente accessibili i propri server Web prima che siano pronti e configurati, contravvenendo a una delle regole fondamentali della sicurezza del Web.
Per esempio, visitando http://prezzi.istat.it ci si trova di fronte la pagina di default del server Apache Tomcat anziché una pagina Istat. Questo è il classico segno di un server Web che è appena stato attivato ma non è ancora stato configurato e reso sicuro, e che non dovrebbe essere accessibile dall'esterno. C'è persino un link bell'e pronto alla pagina di amministrazione remota.
Non è paranoia: trovare login e password, se la pagina di amministrazione remota è accessibile all'intero globo terracqueo, è relativamente banale. Chiunque progetti siti Web con un occhio alla sicurezza sa che la pagina di amministrazione remota è una delle prime cose da disabilitare, come lo è la pagina di default di Apache, tant'è che la pagina stessa dice chiaramente che "Se vedete questa pagina... o siete un utente che si è imbattuto in un'installazione fresca di Tomcat, o siete un amministratore che non ha azzeccato la configurazione".
Oltretutto, la versione di Apache utilizzata non è molto recente: è la 4.1.24, e basta una visita al sito di Apache per accorgersi che la versione corrente di Apache Tomcat è la 5.5 e che gli sviluppatori di Tomcat raccomandano caldamente di aggiornarsi a questa versione appena possibile, in modo da acquisirne gli aggiornamenti di sicurezza (in altre parole, turare le falle trovate nelle versioni precedenti, che ormai sono note a tutti i vandali della Rete). Usare una versione di software non aggiornata è quindi un altro modo per aumentare inutilmente l'esposizione alle aggressioni informatiche, come dimostrato dal recente episodio di Trenitalia.
Purtroppo questo non è un caso isolato in casa Istat. Spulciando l'elenco gentilmente fornito a chiunque da Netcraft.com, si trovano altri server Web dell'Istituto che lavorano, per così dire, con le mutande al vento: per esempio, rodib.istat.it e opac.istat.it.
Il server http://prezzi.istat.it è in queste condizioni almeno dall'inizio di febbraio; non c'è quindi neppure l'alibi dei lavori momentanei. La speranza è che questo articolo e il relativo imbarazzo pubblico possa aiutare a svegliare chi custodisce le statistiche della nostra vita.
Aggiornamento (15:15 15/2/2005): L'articolo ha sortito l'effetto sperato. Le pagine di test sono state sostituite e l'amministrazione remota non risulta più accessibile dall'esterno.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
Commenti all'articolo (4)
17-3-2005 15:59
|
|
||
|
- Motori di ricerca:
I motori di ricerca & la privacy - Al caffe' dell'Olimpo:
[GIOCO] Associazioni di idee - Tablet e smartphone:
Utilizzo smartphone - Internet - generale:
Come interagite con la IA? - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Altra ferraglia stand-alone:
Android TV e smart TV - Sicurezza:
Abbonamento ad antivirus con prova gratuita - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Windows 11, 10:
Comparsa di un Disco Locale sconosciuto - Linux:
Infloww su linux, si può?
