Quando l'intrusione è a fin di bene

Un giovanissimo smanettone trova una falla in un sito italiano, vi penetra e lo ripara da solo. Lezioni di sicurezza per tutti.



[ZEUS News - www.zeusnews.it - 06-06-2005]

[manette]

La coabitazione è sempre un rischio, anche in informatica. Anzi, soprattutto in informatica, perché se si ha l'imprudenza di affidare il proprio sito a chi lo mette in "coabitazione" sul server insieme ad altri siti senza prendere le opportune precauzioni, può bastare una falla in uno dei siti "coinquilini" per dare accesso all'intero sistema e quindi anche alle pagine Web degli altri siti.

E' quello che è successo a un server appartenente a uno dei più grandi gruppi editoriali siciliani, che ha messo a repentaglio circa 150 siti in co-hosting.

Tutto inizia da una provocazione banale: un battibecco in chat fra un giovane smanettone e autore di libri d'informatica, il quindicenne Salvatore Aranzulla, e una persona che chiamerò Francesco (non è il suo vero nome). Salvatore analizza il sito del provocatore con gli strumenti pubblicamente disponibili in Rete e si accorge che è ospitato da un editore siciliano e che usa il software open source dBlog 1.4. Il server gira usando Microsoft Internet Information Server (IIS).

Salvatore attinge a una falla di dBlog documentata da quasi un anno e in pochi minuti accede all'amministrazione del blog del provocatore. Tuttavia non ha intenzioni vandaliche: si limita a inviare al server uno speciale script di prova, usando l'apposita funzione (mal configurata) di upload di file. Fatto questa banalissima operazione, ha accesso a tutti i file del server e non più soltanto a quelli di Francesco.

Fra i file del server ci sono quelli di tutti i siti ospitati (sono oltre 150). Salvatore crea una pagina Web di prova sul server e verifica che è visibile dall'esterno. In altre parole, a questo punto chiunque avrebbe potuto alterare tutti i siti ospitati, nel più classico dei defacement di massa.

Ma Salvatore non è il tipo da defacement, per cui cancella il file creato e si precipita ad avvisare l'editore che il suo sito ha una falla gravissima. Ha lasciato intatti i log in modo da rendere chiara la facilità della tecnica di intrusione utilizzata, e nell'andarsene dal sito ha riparato la falla usata per penetrarlo. Ma ne restano altre.

L'errore di configurazione del server, racconta Salvatore, è "imperdonabile", perché rivela l'"assenza di limitazioni da parte di IIS (che è stato configurato male) e la presenza di permessi di scrittura/modifica/eliminazione ovunque". Prassi purtroppo assai diffuse, perché la gestione corretta dei permessi è un fastidio che intralcia il lavoro, e così si permette tutto a tutti per non tribolare. La conseguente facilità con la quale è avvenuta l'intrusione è molto educativa.

La storia ha anche un ulteriore lieto fine, che poteva anche non esserci, visto che l'intrusione informatica, anche se fatta a fin di bene, rimane comunque un reato e quindi il titolare del sito avrebbe potuto inguaiare seriamente il giovane Salvatore. Invece non se l'è presa (forse anche perché la sua figuraccia non è stata resa pubblica con nomi, cognomi e ragioni sociali degli interessati), ma anzi ha ringraziato Aranzulla per l'aiuto; un gesto lodevole e insolitamente sportivo, visto che non è facile reagire con garbo quando un quindicenne dimostra di saperne più del responsabile del sito.

Il problema, in casi come questi, è che in realtà bisogna resistere alla tentazione di intervenire, limitandosi a segnalare ai titolari l'esistenza della falla. Ma molto spesso queste segnalazioni vengono ignorate, e allora ci si trova di fronte al dubbio: lasciare il sito vulnerabile o intervenire, violando la legge, per prevenire un disastro?

La risposta non è semplice, anche perché se poi il server subisce un defacement, è facile che i primi sospetti cadano proprio su chi innocentemente ha segnalato la falla e quindi aveva perfetta conoscenza di come commettere l'atto vandalico.

L'intera vicenda, con le schermate e i dettagli dell'exploit, è sul sito di Salvatore Aranzulla.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 6)

abdul
Non si può dire che la legge non prescriva alcuna pena per gli 'intrusi' 'a fin di bene', però ricordo che non è un testo scritto a comandare gli uomini, bensì il contrario, quindi nella stragrande maggioranza dei casi ogni legge viene presa "cum grano salis", senza troppe paure ... e che cavolo se... Leggi tutto
12-6-2005 15:05

Paolo
Daccordo, ma... Leggi tutto
10-6-2005 10:49

Marcello
Niente da fare Leggi tutto
9-6-2005 22:52

Encas
Quando l'intrusione è a fin di bene Leggi tutto
9-6-2005 14:42

Andrea Sacchini
Un paio di riflessioni Leggi tutto
8-6-2005 23:04

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Questo sondaggio č stato visto sul sito di un ristorante a domicilio: Qual č il motivo principale per cui hai fatto un ordine nel nostro ristorante online?
Ho cliccato su un annuncio o un banner pubblicitario.
Avevo un coupon o un buono sconto.
Me l'ha raccomandato un amico o un parente.
Me l'ha suggerito un collega di lavoro.
Avevo giā ordinato qui e mi ero trovato bene.
Dalle immagini i piatti proposti sembravano appetitosi.
Altro, specificare --> "AVEVO FAME"

Mostra i risultati (507 voti)
Ottobre 2019
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Antibufala: la Tesla della polizia rimasta a secco durante un inseguimento
Esplode lo smartphone in carica, muore ragazzina
Settembre 2019
Windows, l'aggiornamento di ottobre mette il turbo al Pc
Tutta la verità sul caso del dominio Italia Viva
Ecco perché gli aggiornamenti Windows hanno così tanti bug
A che età dare lo smartphone ai propri figli?
Usa NULL come targa pensando di beffare il sistema informatico delle multe
Gli USA scaricano Huawei e sui portatili arriva Linux Deepin
Falla nelle SIM, vulnerabili 1 miliardo di telefoni
La Francia non vuole Libra in Europa
Tutti gli Arretrati


web metrics