martedì 15 giugno 2010

Il sito della A.S. Roma è infetto

Sul blog di SophosLabs è apparsa oggi la notizia che il sito della Roma calcio è stato attaccato da ignoti che hanno inserito del codice che contiene due script malevoli. 

Come si può vedere dalle immagini pubblicate, l'attacco e il conseguente codice è lo stesso che sempre Sophos ha segnalato anche nel recente caso del sito del giornale israeliano Jerusalem Post.
Graham Cluley riporta anche la notizia che quando l'ufficio italiano di Sophos ha tentato di avvisare la società di calcio della capitale si sono sentiti rispondere che il loro fornitore di servizi Internet aveva garantito che il sito era perfettamente funzionante e che quindi Sophos era pregata di non contattarli più.

Speriamo che la AS Roma ci ripensi, faccia le opportune verifiche e provveda rapidamente alla bonifica del sito eliminando anche le vulnerabilità che hanno consentito che l'attacco andasse a buon fine.

Devo dire che questo episodio mi ha ricordato molto da vicino la mia recente esperienza con i defacement ad opera del Romanian National Security. In quel caso, uno dei siti attaccati era nel dominio corriere.it (utilizzato dai quotidiani del gruppo RCS). Ebbene, avendo approfondito la notizia e avendo verificato che il sito defacciato non era stato neanche messo off-line ho personalmente provveduto ad avvisare sia il responsabile tecnico che il responsabile amministrativo del dominio.
La risposta è stata: "Senta... guardi... mi mandi una mail... adesso non ho tempo". Risultato: il sito è rimasto on-line per oltre un mese con la home page defacciata.

Eppure sono convinto che se lo zerbino della sede della AS Roma fosse stato rovinato o se l'ultima sede del gruppo RCS avesse una scritta offensiva sul portone, si sarebbero tutti mossi con una ben diversa rapidità.

Guardare ad Internet come ad un business significa avere attenzione anche a tutti gli aspetti che potrebbero minare la nostra credibilità e distruggere la fiducia dei nostri utenti. 

Speriamo che l'approccio italiano (e non solo) a queste cose possa maturare  in fretta.

2 commenti:

Matteo Meucci ha detto...

Molto interessante l'articolo come del resto tutto il blog.
Sono d'accordo con il problema di poca attenzione al mondo Internet da parte di chi gestisce applicazioni.
Questo thread mette in luce due problemi di sicurezza molto sottovalutati:

- "Ad oggi si pensa che le applicazioni che trattano dati pubblici non devono essere soggette a verifiche di sicurezza".
Anche se l'applicazione AS Roma tratta informazioni pubbliche questo non significa che la sicurezza applicativa vada sottovaluta. Gli attaccanti qui hanno sfruttato il fatto che il dominio è seguito da migliaia di tifosi e sfruttando una vulnerabilità sono stati in grado di caricare gli script esterni da http://2677.in/yahoo.js e http://www.robint.us/u.js (siti che forzano ad eseguire malware). Quindi chiunque navigando sul dominio www.asroma.it è soggetto a eseguire gli script sopra citati esponendo il proprio browser (e quindi il proprio pc) a tentativi di attacco.

- "La diffusione di malware sfruttando il web come piattaforma è un fenomeno in estremo aumento".
Questo vettore di attacco è uno dei più sfruttati per infettare pc in maniera veloce.
Interessante in tal senso lo studio di Giorgio Fedon:
http://www.owasp.org/images/9/9a/Owasp_Day_IV_Fedon.pdf
Da notare che ricercando "http://2677.in/yahoo.js" e "http://www.robint.us/u.js" su un motore di ricerca, si trovano centinaia di siti che sono stati compromessi e soffrono dello stesso problema.

- Possibili soluzioni?
* Lato Server: introdurre processi di verifica di sicurezza dell'applicazione e dell'ambiente per evitare che possibili attaccanti possano scrivere codice ad hoc sulla propria applicazione ed utilizzarla come ponte per possibili attacchi.
* Lato Client: utilizzate NoScript di Giorgio Maone per evitare di caricare oggetti da domini non fidati.
http://www.owasp.org/images/5/50/OWASP-Italy_Day_IV_Maone.pdf

Matteo "nientenomi" Cavallini ha detto...

Ciao Matteo,

sono molto contento di trovare un tuo commento sul mio blog. Oltre ad apprezzarti come amico, conosco e apprezzo la tua competenza e quindi avere una tua riflessione è cosa per me graditissima.

Effettivamente gli aspetti che metti in evidenza sono verissimi e sono punti sui quali anche io, nella mia veste lavorativa batto moltissimo. Purtroppo devo notare che, in Italia, non c'è ancora una sufficiente maturità nella gestione del Web. Gli unici siti considerati sensibili sono quelli su cui transita denaro (e a volte nemmeno quelli), in questo modo si trascurano aspetti anche minimali di buona gestione, prima ancora che di sicurezza. I danni potenziali sono molto alti, soprattutto per un paese che sta costruendo adesso i propri servizi a valore aggiunto sulla rete.

Speriamo che le iniziative di "awareness" che stiamo portando avanti (OWASP day per la PA, ad esempio) possano contribuire a mitigare un pochino la situazione.

Un saluto,
Matteo

PS colgo l'occasione per invitarti, se vuoi, a preparare un "guest post" sul tema della sicurezza delle applicazioni Web. Sarei felice di pubblicarlo qui su Punto 1,

Posta un commento

http://www.wikio.it