Heartbleed e la PA italiana

by heartbleed.comHeartbleed ha decisamente rubato la scena al fine del supporto di Windows XP.

Secondo le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati SSL/TLS.

Dal momento che Siamo geek ha un database (scaricabile) dei siti della pubblica amministrazione italiana utilizzato per fare delle statistiche settimanali, ho pensato di utilizzarlo per vedere quanti server utilizzati PA sono vulnerabili.

Queste sono le metodologie e i risultati.

Le categorie dei siti presi in considerazione sono elencate qui. L’elaborazione è stata eseguita con uno script ad hoc che ha eseguito queste operazioni:

  1. controlla se il sito web ha la porta 443 aperta
  2. se è aperta esegui lo script di verifica e registra il risultato
  3. controlla se il DNS riporta uno o più record MX relativi al hostname del sito (se non li riporta, riprova omettendo il www)
  4. ordina i record MX in ordine crescente di peso e considera solamente il primo
  5. controlla se nel record MX di peso inferiore è aperta la porta 443
  6. se è aperta esegui lo script di verifica e registra il risultato

L’analisi qui sopra è stata condotta dal pomeriggio dell’11 aprile 2014 in avanti; l’elaborazione è terminata nella notte tra l’11 e il 12 aprile. Visto il rapido evolversi della situazione, i dati sul campo potrebbero cambiare in tempi brevi.

La metodologia è tale per cui i dati non coprono il 100% dei server web o mail utilizzati dalle PA per varie ragioni, tra le quali:

  • il dato del sito web potrebbe non essere aggiornato
  • la PA utilizza anche altri host, è una prassi abbastanza comune per le PA medio-grandi
  • il webmail, se esiste, potrebbe essere su un host diverso dal MX principale.

Sono stati analizzati i siti web e i mail server di 8359 PA.

Le PA i cui siti web che hanno la porta 443 aperta sono 3768 (45%), pari a 1196 indirizzi IPv4 univoci. Di questi 304 (3,6%), pari a 91 IPv4 univoci, sono vulnerabili ad heartbleed.

Di questi 304 siti, 295 appartengono ad un Comune, 7 appartengono ad una PA centrale e 2 al sito di una Provincia. Durante i primi test dell’11 aprile avevo riscontrato che anche una regione era vulnerabile, ma il problema è stato risolto nella tarda mattinata dello stesso giorno.

Passando ai mail server, ho contato 2582 (31%) mail server con la porta 443 aperta, pari a 1342 hostname univoci. Di questi 123 (1,5%), pari a 86 hostname univoci, sono vulnerabili ad heartbleed. Da segnalare che tra questi ci sono anche host di servizi privati esterni alla PA, di uno dei quali ricordo di aver sentito la pubblicità non molto tempo fa.

Di questi 123 mail server, 116 appartengono ad un Comune, 6 appartengono ad una PA centrale e 1 al sito di una Provincia.

34 (0,4%) PA sono vulnerabili ad heartbleed sia nel sito web sia nel MX principale. Si tratta di 32 Comuni e 2 PA centrali.

Ribadisco che, vista la metodologia utilizzata e la struttura di alcuni siti, i server esposti a Internet su cui sono registrati dati delle PA oppure dei Cittadini potrebbero essere di più, quindi ci sono buone probabilità che questi dati statistici siano stime per difetto.

Chi lavora all’interno della PA o chi è fornitore di servizi dovrebbe controllare se i server utilizzati sono vulnerabili e, in caso positivo, porvi rimedio quanto prima.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Heartbleed e la PA italiana”

  1. Scusa la domanda,
    Ma eseguire in modo non autorizzato lo script di verifica su un host, non si configura come reato?
    Io per questo motivo ho evitato di testare, per esempio, il mio provider mail…

    1. Quale reato? Ai sensi di quale articolo?
      Non e’ un atto di intrusione non autorizzata nel sistema informativo perche’ non mi sono introdotto in un bel niente 🙂

      La prima cosa che ho fatto quando ho avuto lo script e’ stata testare l’internet banking della mia banca.

    2. Quando prelevo ad un bancomat, verifico che non sia stato manomesso mettendoci skimmer, telecamerine e simili. Nessuno mi ha autorizzato a farlo, compio un reato?

      🙂

Spazio per un commento