Poste, un defacement preannunciato

I dati degli utenti erano davvero al sicuro? Pare che fosse possibile accedere al database degli utenti.



[ZEUS News - www.zeusnews.it - 15-10-2009]

il messaggio su poste.it

Il 10 ottobre scorso il sito delle Poste ha subito un defacement; ci dicono che i dati dei "clienti" sono o erano al sicuro, ma è proprio vero? Secondo un recente penetration test era possibile accedere al database utenti del sito e addirittura risalire ai nomi degli utenti di gestione del database stesso.

Ma facciamo un salto indietro. Lo scorso sabato il sito poste.it ha subìto un attacco da parte di sconosciuti hacker che, defacciando la home page del sito, hanno scritto una nota che citiamo testualmente.

"Per vostra fortuna noi siamo persone non malintenzionate" si leggeva "perché i vostri dati e i vostri account non sono stati toccati. Ma cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?".

Una nota sul sito delle Poste dichiara: "Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti". Inoltre "Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo". Quest'ultima affermazione è di Gerardo Costabile, responsabile della sicurezza logica di Poste Italiane.

Abbiamo cercato di capire il tipo di attacco effettuato e la reale vulnerabilità del portale delle Poste Italiane. Cercando qualche informazione, ci siamo imbattuti in un interessante test di penetrazione basato su una tecnica ormai nota da anni (peraltro evitabilissima), chiamata Sql injection.

La Sql injection è una tecnica di hacking che mira a colpire applicazioni web basate su database Sql sfruttando l'inefficienza di controlli sui dati ricevuti in input dall'applicazione.

Inserendo del codice maligno all'interno di una query Sql, permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare o alterare dati sensibili.

E se per caso il sito di poste.it fosse vulnerabile ad attacchi di tipo Sql injection? Se la pagina di login non fosse stata progettata effettuando i debiti controlli sui dati che vengono inseriti nei campi "Nome Utente" e password? Cosa accadrebbe? Semplice: un potenziale malintenzionato potrebbe avere accesso agli account di altri utenti, o addirittura agli account amministrativi del database.

La domanda che tutti voi a questo punto vi starete facendo è: "Il sito delle Poste è o era vulnerabile a questo tipo di attacchi?". La risposta, a quanto pare, è si.

Infatti in rete è disponibile un interessantissimo penetration test, datato 5 settembre (quindi un mese prima del defacement), che dimostra come il sito delle Poste Italiane sia affetto da questa vulnerabilità, peraltro evitabile effettuando un maggiore controllo sui dati nell'applicazione che consente agli utenti di autenticarsi.

Ma passiamo al test: dapprima dimostra come sia possibile stabilire il tipo di database utilizzato dal sito poste.it (ovvero Oracle 9i Enterprise 9.2.0.7.0 a 64bit).

In seconda istanza mostra il contenuto di una tabella con i dati di alcuni utenti:


Clicca per ingrandire

Da ultimo, il test mostra anche i nomi di alcuni utenti con privilegi di gestione del database.

[*] ANTO
[*] CLUSADMIN
[*] DBSNMP
[*] FOGLIGHT
[*] GW
[*] GW_07
[*] GW_09_DIP
[*] GW_09_DIR
[*] MONITOR
[*] OUTLN
[*] QUEST
[*] REPLUS
[*] RUB2
[*] ..AM...
[*] SYS
[*] SYSTEM
[*] WMSYS

In conclusione, come spesso accade in ambito di sicurezza informatica, il tempestivo intervento su falle di sicurezza note e su test peraltro pubblici, sembra sia la miglior cura per evitare problemi reali, che a volte si traducono in azioni dimostrative, altre in catastrofi preannunciate.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Input validation: la storia di un uomo alto 6,2 cm

Commenti all'articolo (ultimi 5 di 15)

In realtà il problema e molto più complesso perchè estremamente complesso (o forse caotico) è il sistema di gestione delle poste italiane. Innanzitutto i sistemi di poste italiane hanno due tipi di database diversi. Uno che si basa su microsoft Windows ( tutte le versioni da NT a Vista) in accoppiata letale con SQL server ed uno con... Leggi tutto
18-10-2009 19:15

Troppa mafia sotto, non cambierà mai nulla neppure se avessero rubato e diffuso tutti gli account degli utenti. Leggi tutto
18-10-2009 01:50

Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera :roll:
17-10-2009 21:19

LOL bellissima!
16-10-2009 18:11

Si', e una separazione delle carriere tra chi scrive virus e chi software per la sicurezza. Leggi tutto
16-10-2009 17:12

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quando acquisti un elettrodomestico per la casa, valuti soprattutto...
che il CONSUMO energetico non sia elevato.
che lo SPAZIO occupato non sia eccessivo.
che mi faccia risparmiare TEMPO.
che il COSTO di acquisto sia basso.

Mostra i risultati (2178 voti)
Maggio 2021
WhatsApp cambia le regole, ma niente panico
WhatsApp, funzionalità ridotte se non si vogliono regalare i dati a Facebook
La scorciatoia da tastiera che scongela il Pc
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Tutti gli Arretrati
Accadde oggi - 17 maggio


web metrics