Salta il menu

Newsletter Feed RSS Facebook Forum Contatti Accadde oggi Cerca

Poste, un defacement preannunciato

I dati degli utenti erano davvero al sicuro? Pare che fosse possibile accedere al database degli utenti.

[ZEUS News - www.zeusnews.it - 15-10-2009]

Il 10 ottobre scorso il sito delle Poste ha subito un defacement; ci dicono che i dati dei "clienti" sono o erano al sicuro, ma è proprio vero? Secondo un recente penetration test era possibile accedere al database utenti del sito e addirittura risalire ai nomi degli utenti di gestione del database stesso.

Ma facciamo un salto indietro. Lo scorso sabato il sito poste.it ha subìto un attacco da parte di sconosciuti hacker che, defacciando la home page del sito, hanno scritto una nota che citiamo testualmente.

"Per vostra fortuna noi siamo persone non malintenzionate" si leggeva "perché i vostri dati e i vostri account non sono stati toccati. Ma cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?".

Una nota sul sito delle Poste dichiara: "Un attacco solo superficiale che non ha intaccato minimamente i server con i dati personali degli utenti". Inoltre "Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo". Quest'ultima affermazione è di Gerardo Costabile, responsabile della sicurezza logica di Poste Italiane.

Abbiamo cercato di capire il tipo di attacco effettuato e la reale vulnerabilità del portale delle Poste Italiane. Cercando qualche informazione, ci siamo imbattuti in un interessante test di penetrazione basato su una tecnica ormai nota da anni (peraltro evitabilissima), chiamata Sql injection.

La Sql injection è una tecnica di hacking che mira a colpire applicazioni web basate su database Sql sfruttando l'inefficienza di controlli sui dati ricevuti in input dall'applicazione.

Inserendo del codice maligno all'interno di una query Sql, permette al malintenzionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare o alterare dati sensibili.

E se per caso il sito di poste.it fosse vulnerabile ad attacchi di tipo Sql injection? Se la pagina di login non fosse stata progettata effettuando i debiti controlli sui dati che vengono inseriti nei campi "Nome Utente" e password? Cosa accadrebbe? Semplice: un potenziale malintenzionato potrebbe avere accesso agli account di altri utenti, o addirittura agli account amministrativi del database.

La domanda che tutti voi a questo punto vi starete facendo è: "Il sito delle Poste è o era vulnerabile a questo tipo di attacchi?". La risposta, a quanto pare, è si.

Infatti in rete è disponibile un interessantissimo penetration test, datato 5 settembre (quindi un mese prima del defacement), che dimostra come il sito delle Poste Italiane sia affetto da questa vulnerabilità, peraltro evitabile effettuando un maggiore controllo sui dati nell'applicazione che consente agli utenti di autenticarsi.

Ma passiamo al test: dapprima dimostra come sia possibile stabilire il tipo di database utilizzato dal sito poste.it (ovvero Oracle 9i Enterprise 9.2.0.7.0 a 64bit).

In seconda istanza mostra il contenuto di una tabella con i dati di alcuni utenti:

Clicca per ingrandire

Da ultimo, il test mostra anche i nomi di alcuni utenti con privilegi di gestione del database.

[*] ANTO
[*] CLUSADMIN
[*] DBSNMP
[*] FOGLIGHT
[*] GW
[*] GW_07
[*] GW_09_DIP
[*] GW_09_DIR
[*] MONITOR
[*] OUTLN
[*] QUEST
[*] REPLUS
[*] RUB2
[*] ..AM...
[*] SYS
[*] SYSTEM
[*] WMSYS

In conclusione, come spesso accade in ambito di sicurezza informatica, il tempestivo intervento su falle di sicurezza note e su test peraltro pubblici, sembra sia la miglior cura per evitare problemi reali, che a volte si traducono in azioni dimostrative, altre in catastrofi preannunciate.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Cristian Zavettieri

Commenti all'articolo (ultimi 5 di 15)

zeross

In realtà il problema e molto più complesso perchè estremamente complesso (o forse caotico) è il sistema di gestione delle poste italiane. Innanzitutto i sistemi di poste italiane hanno due tipi di database diversi. Uno che si basa su microsoft Windows ( tutte le versioni da NT a Vista) in accoppiata letale con SQL server ed uno con... Leggi tutto
18-10-2009 19:15

freemind

Troppa mafia sotto, non cambierà mai nulla neppure se avessero rubato e diffuso tutti gli account degli utenti. Leggi tutto
18-10-2009 01:50

MaXXX eternal tiare

Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera :roll:
17-10-2009 21:19

syaochan

LOL bellissima!
16-10-2009 18:11

Zeus

Si', e una separazione delle carriere tra chi scrive virus e chi software per la sicurezza. Leggi tutto
16-10-2009 17:12

Leggi gli altri 10 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(3 commenti) Google Maps passa al 3D, più chiari incroci e cambi di direzione	News(4 commenti) Perplexity trasforma il Mac mini in un dipendente digitale che lavora per l'utente

News(5 commenti)

Imbarazzo in Commissione UE: documento solo in Excel, senza OpenDocument

Sicurezza(4 commenti)

Aggiornamenti Windows senza riavvio: hotpatching attivo di default

Trucchi(6 commenti)

Excel, cinque trucchi che ogni principiante dovrebbe imparare subito

News(4 commenti)

Contratti luce e gas attivati senza consenso: la guida per difendersi

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Che cosa hai fatto almeno una volta nella vita in una cabina telefonica?