Violati siti collegati alla Polizia e alla Giustizia

hack giustiziaSu un blog riconducibile ad Anonymous è apparso un post intitolato Summum ius, summa iniuria nel cui testo, riprodotto a fianco, ci sono i link per scaricare i dump dei database di alcuni siti collegati alle forze dell’ordine o alla Giustizia.

Ho dato un’occhiata veloce ai file prima di distruggerli e il risultato è a dir poco sconsolante: ancora una volta ci troviamo davanti ad una leggerezza nella gestione dei dati che non dovrebbe esistere in certi settori, specie quelli incaricati di far rispettare la Legge. Leggi tutto “Violati siti collegati alla Polizia e alla Giustizia”

Voi e le vostre password complicate!

Secondo quanto rivela il giornale israeliano Haaretz, la password dell’account mail di Bashar Assad compromesso da Anonymous sarebbe stata 12345.

1 2 3 4 5 

Se la notizia fosse vera non ci sarebbe molto da commentare, tranne che solamente l’erede al trono del regno degli incoscienti (per non utilizzare termini ben peggiori) utilizzerebbe una password del genere per un account governativo.

Poi, però, non diamo la colpa agli hacker…

Hacking dei siti: un bene o una scocciatura?

Di recente c’è stato un incremento di hacking di siti e pare che le nuove vittime siano i sistemi di videoconferenza.

Certamente non è simpatico per un SysAdmin o responsabile IT scoprire da Twitter che il sito di cui si è responsabili ha delle falle di sicurezza che sono state sfruttate da dei simpaticoni che hanno spiattellato la falla sulla home page del sito stesso. Tanto chi vuoi che sia interessato al nostro sito! dicono in tanti.

Questi eventi dimostrano come prima cosa una teoria: la sicurezza dei siti Internet è, nella migliore delle ipotesi, sottovalutata. Password ovvie, credenziali condivise tra troppi attori, nessun test serio per gli attacchi standard, modifiche strutturali fatte all’ultimo momento, fornitori abili nella grafica web ma completamente ignoranti in tema di sicurezza, progetti gestiti dal dipartimento sbagliato, subappalti dei lavori… queste sono alcune delle cause che alzano notevolmente le probabilità che un sito venga compromesso.

Le attività di hacking non sono simpatiche, specie se ci si trova dalla parte della vittima, ma credo siano utili.

Leggi tutto “Hacking dei siti: un bene o una scocciatura?”

Ok gli attacchi di Anonymous, ma…

Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.