L'Istat e le mutande al vento (*aggiornamento*)
L'istituto lascia le proprie porte Web un po' troppo aperte. Un buon esempio di come si trascura la sicurezza nella pubblica amministrazione. La segnalazione di Zeus News ha successo.
[ZEUS News - www.zeusnews.it - 15-02-2005]
![[logo istat spezzato]](https://www.zeusnews.it/img/3/5/8/3/0/0/003853-logoistatrotto)
Nota: A fine articolo è stato aggiunto un aggiornamento che tiene conto degli sviluppi verificatisi dopo la pubblicazione iniziale.
L'Istituto Nazionale di Statistica rende pubblicamente accessibili i propri server Web prima che siano pronti e configurati, contravvenendo a una delle regole fondamentali della sicurezza del Web.
Per esempio, visitando http://prezzi.istat.it ci si trova di fronte la pagina di default del server Apache Tomcat anziché una pagina Istat. Questo è il classico segno di un server Web che è appena stato attivato ma non è ancora stato configurato e reso sicuro, e che non dovrebbe essere accessibile dall'esterno. C'è persino un link bell'e pronto alla pagina di amministrazione remota.
Non è paranoia: trovare login e password, se la pagina di amministrazione remota è accessibile all'intero globo terracqueo, è relativamente banale. Chiunque progetti siti Web con un occhio alla sicurezza sa che la pagina di amministrazione remota è una delle prime cose da disabilitare, come lo è la pagina di default di Apache, tant'è che la pagina stessa dice chiaramente che "Se vedete questa pagina... o siete un utente che si è imbattuto in un'installazione fresca di Tomcat, o siete un amministratore che non ha azzeccato la configurazione".
Oltretutto, la versione di Apache utilizzata non è molto recente: è la 4.1.24, e basta una visita al sito di Apache per accorgersi che la versione corrente di Apache Tomcat è la 5.5 e che gli sviluppatori di Tomcat raccomandano caldamente di aggiornarsi a questa versione appena possibile, in modo da acquisirne gli aggiornamenti di sicurezza (in altre parole, turare le falle trovate nelle versioni precedenti, che ormai sono note a tutti i vandali della Rete). Usare una versione di software non aggiornata è quindi un altro modo per aumentare inutilmente l'esposizione alle aggressioni informatiche, come dimostrato dal recente episodio di Trenitalia.
Purtroppo questo non è un caso isolato in casa Istat. Spulciando l'elenco gentilmente fornito a chiunque da Netcraft.com, si trovano altri server Web dell'Istituto che lavorano, per così dire, con le mutande al vento: per esempio, rodib.istat.it e opac.istat.it.
Il server http://prezzi.istat.it è in queste condizioni almeno dall'inizio di febbraio; non c'è quindi neppure l'alibi dei lavori momentanei. La speranza è che questo articolo e il relativo imbarazzo pubblico possa aiutare a svegliare chi custodisce le statistiche della nostra vita.
Aggiornamento (15:15 15/2/2005): L'articolo ha sortito l'effetto sperato. Le pagine di test sono state sostituite e l'amministrazione remota non risulta più accessibile dall'esterno.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
Commenti all'articolo (4)
17-3-2005 15:59
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] Associazioni di idee - Sicurezza:
Account cloni Whats App - attenzione! - Aiuto per i forum / La Posta di Zeus / Regolamento:
Avvisi risposte e notifiche MP non mi arrivano - Pc e notebook:
Caricare pc power bank - Al Caffe' Corretto:
btp valore - Pronto Soccorso Virus:
Sito insicuro e notifiche firefox - Dal processore al case:
info per scheda grafica che supporta OpenGL 4.5 - Tablet e smartphone:
Microsoft Surface e memoria sempre insufficiente - Programmazione:
Evoluzione di carriera: da Sviluppatore IBM i a
PM/Tech Lead - Vecchi articoli di Zeus News:
Errori negli articoli
