L'Istat e le mutande al vento (*aggiornamento*)

L'istituto lascia le proprie porte Web un po' troppo aperte. Un buon esempio di come si trascura la sicurezza nella pubblica amministrazione. La segnalazione di Zeus News ha successo.



[ZEUS News - www.zeusnews.it - 15-02-2005]

[logo istat spezzato]

Nota: A fine articolo è stato aggiunto un aggiornamento che tiene conto degli sviluppi verificatisi dopo la pubblicazione iniziale.

L'Istituto Nazionale di Statistica rende pubblicamente accessibili i propri server Web prima che siano pronti e configurati, contravvenendo a una delle regole fondamentali della sicurezza del Web.

Per esempio, visitando http://prezzi.istat.it ci si trova di fronte la pagina di default del server Apache Tomcat anziché una pagina Istat. Questo è il classico segno di un server Web che è appena stato attivato ma non è ancora stato configurato e reso sicuro, e che non dovrebbe essere accessibile dall'esterno. C'è persino un link bell'e pronto alla pagina di amministrazione remota.

Stando a fonti interne, questo dovrebbe diventare il sito dal quale scaricare gli indici dei prezzi che ora sono distribuiti via e-mail. Se continua così, c'è il rischio che qualche vandalo scarichi ben più del dovuto.

Non è paranoia: trovare login e password, se la pagina di amministrazione remota è accessibile all'intero globo terracqueo, è relativamente banale. Chiunque progetti siti Web con un occhio alla sicurezza sa che la pagina di amministrazione remota è una delle prime cose da disabilitare, come lo è la pagina di default di Apache, tant'è che la pagina stessa dice chiaramente che "Se vedete questa pagina... o siete un utente che si è imbattuto in un'installazione fresca di Tomcat, o siete un amministratore che non ha azzeccato la configurazione".

Oltretutto, la versione di Apache utilizzata non è molto recente: è la 4.1.24, e basta una visita al sito di Apache per accorgersi che la versione corrente di Apache Tomcat è la 5.5 e che gli sviluppatori di Tomcat raccomandano caldamente di aggiornarsi a questa versione appena possibile, in modo da acquisirne gli aggiornamenti di sicurezza (in altre parole, turare le falle trovate nelle versioni precedenti, che ormai sono note a tutti i vandali della Rete). Usare una versione di software non aggiornata è quindi un altro modo per aumentare inutilmente l'esposizione alle aggressioni informatiche, come dimostrato dal recente episodio di Trenitalia.

Purtroppo questo non è un caso isolato in casa Istat. Spulciando l'elenco gentilmente fornito a chiunque da Netcraft.com, si trovano altri server Web dell'Istituto che lavorano, per così dire, con le mutande al vento: per esempio, rodib.istat.it e opac.istat.it.

Il server http://prezzi.istat.it è in queste condizioni almeno dall'inizio di febbraio; non c'è quindi neppure l'alibi dei lavori momentanei. La speranza è che questo articolo e il relativo imbarazzo pubblico possa aiutare a svegliare chi custodisce le statistiche della nostra vita.

Aggiornamento (15:15 15/2/2005): L'articolo ha sortito l'effetto sperato. Le pagine di test sono state sostituite e l'amministrazione remota non risulta più accessibile dall'esterno.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Paolo Attivissimo

Commenti all'articolo (4)

OrientaleVeneto
Il mio Caro Amico Luigi Biggeri... Leggi tutto
17-3-2005 15:59

Rita
non è tappato più di tanto Leggi tutto
15-2-2005 18:24

xarface
Appena tappato Leggi tutto
15-2-2005 13:39

sweetiepine
E l'elenco continua.. Leggi tutto
15-2-2005 10:20

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Se fossi il passeggero in un'auto il cui conducente sta leggendo o inviando un Sms, protesteresti?
S, ma solo se sono in confidenza con l'autista. E comunque non mi sentirei molto tranquillo.
S, per la sicurezza di tutti.
No, se lo fa in un rettilineo o comunque in condizioni di sicurezza.
No, se il conducente attento: non c' motivo di protestare.
No, se sta solo leggendo. S, se sta inviando un messaggio.

Mostra i risultati (2429 voti)
Dicembre 2022
Telefonia, inizia l'era degli aumenti infiniti
La settimana lavorativa di quattro giorni è un successo
L'app open source per vedere YouTube senza seccature
Novembre 2022
L'app per scaricare l'intera Wikipedia (e non solo)
La scorciatoia che sblocca Windows
Amazon Drive chiude i battenti
Le cinque migliori alternative a Z Library
Il visore VR che uccide i giocatori quando perdono
Gli Stati Uniti oscurano Z Library
Vodafone, sottratti oltre 300 GB di dati degli utenti
Pochi o tanti, ma contanti
Ottobre 2022
Chrome si prepara ad abbandonare i Windows ''vecchi''
iPhone 14, nessuno lo vuole?
Windows 11, in arrivo il primo "Momento"
TikTok, arrivano i contenuti per soli adulti
Tutti gli Arretrati
Accadde oggi - 10 dicembre


web metrics