Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Sito della PA hackerato: l’Italia è pronta per il digitale?
La vicenda della violazione del sito della Funzione Pubblica deve essere un campanello d’allarme. Manca una struttura (e una cultura) per gestire la digitalizzazione.
Com’è possibile che lo scorso 18 novembre un 17enne sia riuscito a mettere le mani su 45.000 account conservati in un database della Funzione Pubblica?
Il protagonista della violazione, che ha annunciato la pubblicazione di parte del database tramite il suo account Twitter a cui è registrato come Kapustkiy, non è un pirata informatico e preferisce non essere definito nemmeno un hacker.
La sua attività, ha precisato nei suoi tweet, è quella di “Security pentester”. Insomma: va a caccia di vulnerabilità per segnalarle e consentire agli amministratori di rendere più sicuri i siti che gestiscono.
La vicenda dell’attacco al sito mobilita.gov.it, però, oltre che una figuraccia per il governo italiano dovrebbe suonare come un allarme per chiunque abbia a cuore il processo di digitalizzazione della Pubblica Amministrazione.
Prima di tutto perché la presenza di una vulnerabilità banale come quella segnalata da Kapustkiy, una semplice SQL Injection ha dell’incredibile. Soprattutto in un sito che contiene informazioni sensibili, come i dati riguardo l’occupazione nella Pubblica Amministrazione.
“Ci sono sistemi che consentono di verificare automaticamente se un portale è vulnerabile a questo tipo di attacco” conferma Matteo Cafasso di F-Secure. “Per farlo, quindi, non serve una grande competenza o l’uso di tecniche particolarmente sofisticate”.
Il fatto che Kapustkiy si sia limitato a sottrarre alcuni dati a scopo dimostrativo, tutto sommato è già una fortuna. “Un attacco tramite SQL Injection, oltre che per sottrarre informazioni, può essere usato per modificare o cancellare i dati nel database” conferma Cafasso. “Nel caso di un sito della Pubblica Amministrazione, le conseguenze di un’azione del genere potrebbero essere gravissime”.
Per fortuna Kapustkiy non aveva intenzione di fare danni ma solo di segnalare un problema.
In secondo luogo, perché il “Security pentester” è arrivato alla decisione di sottrarre e pubblicare i dati come atto dimostrativo solo dopo aver tentato inutilmente di segnalare il problema.
“Molte aziende hanno messo in campo programmi di bug bounty in cui chi segnala una falla di sicurezza viene ricompensato. In questo caso, a quanto pare, Kapustkiy non è nemmeno riuscito a trovare qualcuno da contattare per avvisare del problema”.
Sul sito mobilita.gov.it, naturalmente, non c’è alcun contatto con gli amministratori del sito. Consultando una copia cache del 2 ottobre (al momento in cui scriviamo il sito è ancora offline per manutenzione) l’unico contatto che si trova è un’email che fa riferimento all’helpdesk. Difficile che possa essere di aiuto per segnalare una vulnerabilità.
Kapustkiy, infatti, ha contattato le persone indicate come responsabili nei dati di registrazione del dominio e un paio di indirizzi del Ministero degli Esteri, che evidentemente non hanno nemmeno capito di cosa si trattasse.
Secondo quanto dichiarato dai gestori del sito, tra l’altro, le persone contattate da Kapustkiy non hanno più nulla a che fare con la gestione del sistema, ma nei dati di registrazione sono ancora indicati come referenti. Una situazione che non stupisce più di tanto il ricercatore di F-Secure.
“Ci troviamo spesso di fronte a situazioni come questa” spiega Matteo Cafasso. “Quello che succede è che l’ente affida la realizzazione del sito a qualcuno e una volta concluso il lavoro la gestione viene affidata a qualcun altro, ma senza che ci sia un contatto fra i due soggetti. Oggi chiunque operi su Internet dovrebbe predisporre un sistema che consenta di segnalare eventuali problemi e vulnerabilità”.
Resta da vedere, inoltre, come fossero protetti quei dati. Stando alle dichiarazioni dei responsabili, infatti, le password erano cifrate. Ma con quale algoritmo?
Come insegna la cronaca recente, infatti, non tutti i sistemi di crittografia garantiscono l’inviolabilità dei dati. “I sistemi di crittografia più datati (come MD5) sono vulnerabili ad attacchi di brute forcing che possono essere fatti anche con servizi online” spiega Cafasso. “Purtroppo ci sono ancora molti amministratori che li usano, ma non offrono alcuna garanzia”.
Considerato che entro la fine del 2017 la Pubblica Amministrazione dovrebbe accelerare sulla digitalizzazione grazie anche all’introduzione del sistema SPID (che offre un unico username e password per accedere a tutti i servizi) l’idea che il livello di sicurezza rimanga così basso diventa ancora più preoccupante.
Pensiamo davvero di affidare i dati di milioni di cittadini a siti Internet gestiti in questo modo?
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
