domenica 23 gennaio 2011

Siti governativi in vendita: ci siamo anche noi!!

Figura 1
Sono un paio di giorni che nelle community di sicurezza su Internet sta girando insistentemente la notizia dell'iniziativa di un hacker americano che ha deciso di pubblicare una lista dei siti governativi di cui è riuscito ad ottenere il controllo. L'iniziativa ha fatto molto scalpore perché la lista è pubblicata con tanto di prezzo a fianco ai siti "bucati", nel caso qualcuno fosse interessato a comprarli.

Alcuni si sono scandalizzati, altri sono inorriditi, altri ancora, come me, hanno letto la notizia e poi sono passati avanti. Devo dire che non mi sono appassionato e, anzi, mi sono un po' stupito per l'insistenza con cui si riproponeva la notizia. Non c'era nessun dominio "eclatante", certo c'erano domini governativi, militari anche, ma nessuno mi era sembrato davvero rilevante.

Per la prima volta, la notizia l'ho letta sul bellissimo blog di Brian Krebs che riportava anche un'immagine del sito che appunto proponeva la "vendita" dei siti bucati, ma come dicevo senza prestare troppa attenzione.

Stasera su Twitter, Martin Bos ha pubblicato l'indirizzo del sito (Figura 2) e ho deciso di dare un'occhiata e...
Figura 2
bum! 

Ci sono siti italiani!!!

Non ci avevo fatto caso prima e non ne avevo letto da nessuna parte!!

Ci sono 5 siti con domini .gov.it, come potete vedere dalla Figura 1. Sono siti di Istituti scolastici e questo spiega molte cose. Però, sono siti ufficiali e riportano il dominio gov.it che dovrebbe essere costituire una garanzia per tutti noi.
Figura 3

Facendo infine un giro sul sito di questo hacker americano ho trovato una pagina che mostra alcune immagini a comprova dell'effettiva violazione effettuata, ebbene anche qui siamo fortunati... una delle cinque immagini è di un sito italiano (Figura 3) e mostra, come potete vedere, l'interfaccia di amministrazione del sito.

Questa situazione mi fa pensare a quanti siti di scuole italiane sono vulnerabili e quanti sono stati effettivamente "bucati". Penso anche a chi ha incassato soldi pubblici per sviluppare questi siti.

Bisognerebbe proprio fare qualcosa... chi di voi avvisa il CERT italiano di questa situazione? Che sciocco... mi dimentico sempre che in Italia, non esiste un CERT nazionale... 

Io comunque, domani mattina, qualche telefonata la faccio...

7 commenti:

Glamis ha detto...

Molto interessante, la notizia era sfuggita anche a me.. (a dire il vero dovrei fare una cernita delle fonti di news infosec, sono diventate davvero troppe, soprattutto su Twitter).

Certo è che finora avevo visto listini per noleggiare botnet a prezzi ridicoli, ma 9,99 per un hacking di un sito è un insulto alla professione! :)

Scherzi a parte, la questione si fa sempre più seria, mentre una volta era tutto più o meno delegato all'underground, ora si fa tutto allo scoperto. Questo ritengo possa portare soprattutto al fatto che un coinvolgimento di non addetti ai lavori, buoni o cattivi che siano, crei rischi ancora più elevati.
Perché un conto è se sai quello che stai facendo, un conto è se lo fai solo per fare casino...

Ma d'altro canto potrebbe essere la scusa per sensibilizzare un po' meglio chi pensa che sia solo un gioco, e che non c'è nessun rischio da parte di questa specie di "war games". E a che serve un CERT poi?

A proposito, come sono andate le telefonate? ;)

Federico

Matteo Cavallini ha detto...

Ciao Federico,

grazie davvero per essere un così attento lettore del blog.

Concordo con te, siamo in un momento molto difficile e probabilmente di transizione. Siamo infatti in una società globalizzata dove le minacce sono assolutamente distribuite e però non abbiamo ancora sviluppato quella sensibilità che società più "avanti" di noi hanno già acquisito.

Insomma siamo scoperti e vulnerabili... e la sensazione è, a dir poco, sgradevole.

Per quanto riguarda le "telefonate", sono andate bene, nel senso che, in mancanza di strutture ufficiali, funzionano sempre molto bene le reti di conoscenze personali.

Un caro saluto,
Matteo

Glamis ha detto...

Prego :D
Leggo con interesse perché, come già detto, nel marasma delle informazioni sulla sicurezza ICT apprezzo la chiarezza dei tuoi articoli (ma basta con i complimenti sennò dicono che ci siamo messi d'accordo, visto che siamo anche "cugini")..

La sensibilità infatti è la chiave fondamentale, se ne parlava anche di recente su LinkedIn circa la vulnerabilità dei router wireless di casa. Il fatto è che spesso in Italia preferiamo arrivare a sbatterci il grugno piuttosto che a prevenire (e poi si parla di catastrofe annunciata...).

Le reti di conoscenza poi sono sempre efficaci, ma anche lì se dall'altra parte non hai una persona che almeno sa di cosa si sta parlando, diventa tutto inutile. Se non dannoso per chi fa la segnalazione...

CsOneRT ha detto...

Sono tanti gli spunti di riflessione che questa notizia propone;
In primis, come già detto, la mancanza di una rete di informazione e coordinamento degli incidenti ben fatta spesso impedisce di gestire gli incidenti veramente importanti come si dovrebbe.
E sempre a seguito della mancanda di "visione" generale, a tanti piccoli incidenti avvenuti in strutture diverse, non viene dato il giusto peso perchè non correlati fra loro da un osservatore unico.

La seconda riflessione che mi viene da fare leggendo questo articolo è il diverso peso che adesso stiamo dando al suffisso GOV. Nell'ideale generale, i domini GOV li associamo ai grandi enti Governativi di sicurezza Americani e simili; e adesso, vediamo sulla stessa bilancia, Ministeri Esteri e Scuole Medie-Superiori Italiane.
Ed è una mia personale idea che quei siti siano stati presi di mira erroneamente proprio perchè avevano quel suffisso, non tanto per la loro sostanziale importanza.

Terzo Punto
E' corretto dare importanza alla sicurezza dei siti web, ma nel caso specifico tutti i siti italiani di cui sono in vendita le credenziali, sono hostati sullo stesso server.
E ognuno di questi siti, nei mesi scorsi è stato vittima di un defacement.
Ed in questo istante, al tentativo di accesso a quei siti risponde un bel "No Response from DNS Server"...

Un saluto,

Riccardo

Matteo Cavallini ha detto...

Ciao Riccardo,

sono proprio felice che tu abbia voluto condividere queste tue riflessioni con tutti noi.

Punto 1 ;-), voglio ringraziarti per aver dato ulteriori informazioni (Terzo Punto) che penso diano una dimensione più completa alla notizia.

In merito poi alla seconda riflessione sono convinto che tu abbia ragione. Probabilmente viene fatto un uso non completamente corretto dei domini .gov.it. Infatti si potrebbe utilizzare più correttamente un dominio .edu.it per le scuole e lasciare i .gov.it per le Amministrazioni.

Infine, un CERT Nazionale aiuterebbe ad avere quella visione complessiva con questo stato di cose è davvero impossibile avere.

Riccardo, grazie ancora e... alla prossima!!
Matteo

Anonimo ha detto...

Il peccato è solo uno!
Un CERT nazionale, a parer mio sarebbe solo "Giovanni che urla nel deserto" e come al solito potrebbe fare solo "dottrina".
NON esiste nessun ente in grado di poter imporre la sicurezza sul web.
Ciao a tutti

Matteo Cavallini ha detto...

Ciao,

mi piace molto il tuo commento! Si presta a molte interpretazioni diverse.

Pur comprendendo il messaggio che vuoi mandare propongo per le tue parole un significato alternativo... prova a seguirmi.

Ebbene concordo con te, un CERT nazionale svolgerebbe effettivamente un ruolo simile a quello che ebbe Giovanni che urla nel deserto, e cioè il ruolo di qualcuno che è stato investito dalla responsabilità di far arrivare un messaggio di impegno e salvezza a chi al momento non è pronto o non sa.

Senza Giovanni non ci sarebbe stato il resto...

E anche sugli altri concetti concordo!

Un CERT fa solo dottrina ma, al momento, è proprio quello che ci serve.
Si deve riuscire a far passare la volontà di porre attenzione alla sicurezza.
Quando qualcuno dovrà cominciare a rispondere delle proprie scelte di (in)sicurezza si cominceranno a muovere le cose. Pensa al Garante e a quanto è stato fatto... inizialmente anche in quell'ambito si trattava solo di "dottrina".

Ed infine, hai completamente ragione, NON esiste nessun ente in grado di poter imporre la sicurezza sul Web. E' proprio per questo che ci deve essere un approccio collettivo; è per questo che in tutto il mondo (civile, da noi un po' meno ;-))) ) si discute di partnership privato/pubbliche su questi temi. E' però altrettanto chiaro che, se non parte per primo lo Stato con una reale attenzione a questi temi, i privati, da soli, non saranno mai in grado dare vita a niente di realmente utile per il sistema paese.

Grazie ancora per aver voluto lasciare il tuo commento, lo spirito di questo blog è proprio questo... conversare di sicurezza.

Un caro saluto,
Matteo

Posta un commento

http://www.wikio.it