Violati siti collegati alla Polizia e alla Giustizia

hack giustiziaSu un blog riconducibile ad Anonymous è apparso un post intitolato Summum ius, summa iniuria nel cui testo, riprodotto a fianco, ci sono i link per scaricare i dump dei database di alcuni siti collegati alle forze dell’ordine o alla Giustizia.

Ho dato un’occhiata veloce ai file prima di distruggerli e il risultato è a dir poco sconsolante: ancora una volta ci troviamo davanti ad una leggerezza nella gestione dei dati che non dovrebbe esistere in certi settori, specie quelli incaricati di far rispettare la Legge. Leggi tutto “Violati siti collegati alla Polizia e alla Giustizia”

Sito del PD Toscana hackerato

La notizia non è che un WordPress sia stato sfondato, ma come.

In questo momento il sito del PD Toscana mostra questa immagine di apertura:

pd toscana hack

Ad un’analisi superficiale potrebbe apparire che degli abilissimi hacker abbiano rubato le credenziali al webmaster. Leggi tutto “Sito del PD Toscana hackerato”

Code Spaces

codespacesCode Spaces era un servizio di ospitazione di sorgenti software e gestione progetti.

Un attacco ben coordinato ha distrutto il sito, i backup e l’azienda.

Quelli di Code Spaces non erano così sprovveduti come si potrebbe pensare perché avevano un sistema di backup in tempo reale che era stato testato. Avevano anche un sistema di ridondanza per garantire l’uptime, ma, come sanno i professionisti del settore, la ridondanza non ha nulla a che fare con i backup e, soprattutto, con i restore.

Secondo il sito, un malvivente avrebbe guadagnato l’accesso al pannello di controllo di EC2 e avrebbe lasciato dei messaggi in cui, sostanzialmente, chiedeva un riscatto in danaro.

Quando i legittimi proprietari del sito hanno cambiato le password di accesso al pannello è iniziata la fine: il malvivente aveva creato degli altri accessi di backup con i quali ha distrutto tutti i dati. Leggi tutto “Code Spaces”

Adobe compromessa

Adobe Systems IncorporatedAdobe è stata compromessa: sono stati trafugati i sorgenti di alcuni software e i dati di moltissimi utenti registrati.

Dal momento che le compromissioni sono due è bene analizzarle separatamente.

Per quanto riguarda il codice sorgente, Adobe ha rilasciato una dichiarazione qui. L’intrusione sarebbe avvenuta lo scorso 17 settembre e sicuramente è stato copiato il sorgente di ColdFusion e di Acrobat, probabilmente anche quello di altri software di Adobe. L’evento è molto serio perché chi può accedere a quei sorgenti può studiarli per scoprire delle vulnerabilità e sfruttarle. I gestori di siti con ColdFusion devono prestare particolare attenzione e tenere il loro software aggiornato. Stessa regola vale per chi ha installato Flash e Adobe Reader; questi ultimi utenti possono considerare l’opzione di rimuovere il software per la lettura dei PDF e utilizzarne un altro.

Leggi tutto “Adobe compromessa”

Pieno con clonazione

Fin’ora abbiamo visto gli skimmer applicati ai POS o agli sportelli Bancomat e siamo (o dovremmo essere) attenti a controllare la loro presenza in quei contesti.

In Oklahoma due persone sono finite davanti al giudice con l’accusa di aver rubato 400.000 dollari attraverso skimmer applicati alle macchine per il pagamento self-service dei carburanti.

I due avevano installato uno skimmer in un’area di servizio nei pressi di un Wal-Mart e l’avevano lasciata lì uno o due mesi, dopodiché hanno recuperato il dispositivo con i dati delle carte utilizzate in quel periodo. Con quelle informazioni hanno creato delle carte clonate, che sono state utilizzate per prelevare contante.

Questo tipo di modifica richiede l’accesso alla circuiteria del lettore di schede (non si tratta di un artefatto applicato sopra al lettore). I malviventi sono stati favoriti dal fatto che molte colonnine (almeno negli USA) sono apribili con una serie di passe-partout. Una volta aperta la colonnina viene sostituito il lettore originale (acquistabile con meno di 100 dollari) con uno modificato ad arte e viene applicata una tastiera a membrana opportunamente modificata. Richiuso il tutto, non restano segni di effrazione e il dispositivo può essere individuato solamente se interviene un tecnico dell’assistenza per un guasto.

Questo episodio dimostra che gli skimmer applicati ai distributori di carburante sono arrivati allo stesso livello di complessità e raffinatezza di quelli degli sportelli Bancomat. (via Krebs on security)

ubuntuforums.org compromesso

ubuntuforumsAlle 20:11 di ieri sera 20 luglio (UTC) ubuntuforums.org è stato vittima di un defacement e pochi minuti dopo il sito è stato messo offline dagli amministratori.

Successive analisi hanno rivelato che l’attacco non si è limitato al defacement, ma sono stati rubati nomi utente, email e password degli utenti.

Le password non erano conservate in chiaro, ma questo non garantisce che chi ha rubato il database non possa scoprirle con un attacco di forza bruta.

Chiunque abbia un account su ubuntiforums.org e utilizzi la stessa password per siti diversi in cui utilizza il medesimo login o la medesima mail dovrebbe cambiare la password e riconsiderare questa abitudine.

Ubuntu One, Launchpad e tutti gli altri servizi online di Ubuntu o Canonical non sono interessati da questo problema.

In questo momento la pagina principale del sito è stata sostituita da una pagina informativa.

Al momento della penetrazione il sito si basava su vBulletin che, secondo alcune fonti, non sarebbe stato aggiornato e non avrebbe avuto un’adeguata protezione per il pannello amministrativo (via Srefano Quintarelli)

Il caso Hetzner

HetznerOggi pomeriggio Hetzner, il servizio che ospita anche il server su cui gira Siamo Geek, ha avvisato che alcuni dei suoi server sono stati compromessi.

Secondo le prime analisi, sarebbe stata trafugata una parte del database degli utenti utilizzati per collegarsi al sistema di gestione dei server, sono state pubblicate anche delle FAQ in merito.

La compromissione sarebbe stata causata da una backdoor creata da un programma che gira in RAM e non modifica gli eseguibili. Ricorda qualcosa questa definizione? Da qualche decennio lo chiamiamo virus e da qualche decennio lo combattiamo con una famiglia di programmi nota come “antivirus”, quei programmi che si caricano all’avvio e tengono d’occhio il sistema per impedire che altri programmi facciano quello che non dovrebbero.

Ecco che chi si credeva al sicuro solo perché usava un determinato sistema operativo e un metodo basato sulle checksum dei binari si scopre improvvisamente vulnerabile ad un attacco portato con una delle più vecchie forme di malware.

Probabilmente (ma è un’ipotesi azzardata) Selinux avrebbe potuto mitigare il danno, oppure l’ha mitigato. Sto facendo un po’ di test sulla mia pelle (il server casalingo) con Selinux, appena ho qualcosa di concreto arriva un articolo.

Nel frattempo, giova ancora una volta ricordare che nessuno è al sicuro per il solo fatto di utilizzare un sistema operativo piuttosto che un altro.

Di uccelli, di hacker, di periferiche, di cestini intelligenti

A guardarlo bene, il cestino in questione sembra intelligente all’incirca quanto certe persone di mia conoscenza. Comunque è sicuramente un cestino da geek.

Leggi tutto “Di uccelli, di hacker, di periferiche, di cestini intelligenti”

Hacking dei siti: un bene o una scocciatura?

Ghiacciato / FrozenDi recente c’è stato un incremento di hacking di siti e pare che le nuove vittime siano i sistemi di videoconferenza.

Certamente non è simpatico per un SysAdmin o responsabile IT scoprire da Twitter che il sito di cui si è responsabili ha delle falle di sicurezza che sono state sfruttate da dei simpaticoni che hanno spiattellato la falla sulla home page del sito stesso. Tanto chi vuoi che sia interessato al nostro sito! dicono in tanti.

Questi eventi dimostrano come prima cosa una teoria: la sicurezza dei siti Internet è, nella migliore delle ipotesi, sottovalutata. Password ovvie, credenziali condivise tra troppi attori, nessun test serio per gli attacchi standard, modifiche strutturali fatte all’ultimo momento, fornitori abili nella grafica web ma completamente ignoranti in tema di sicurezza, progetti gestiti dal dipartimento sbagliato, subappalti dei lavori… queste sono alcune delle cause che alzano notevolmente le probabilità che un sito venga compromesso.

Leggi tutto “Hacking dei siti: un bene o una scocciatura?”

Ok gli attacchi di Anonymous, ma…

Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.

Un altro furto di dati

AntichiQuesta volta è toccato a Honda USA e anche questa volta coinvolge un fornitore terzo di servizi.

Honda USA ha segnalato ai propri clienti che alcuni dati personali sono stati trafugati dagli archivi di un fornitore esterno.

Fatti come questo o come i recenti che hanno colpito deviantART e Gawker dimostrano quanto siano da prendere con estrema cautela i servizi esterni che inviano dati, che potrebbero non avere le stesse caratteristiche di sicurezza degli archivi aziendali da cui provengono e renderebbero, di fatto, vani gli sforzi per proteggere i dati aziendali.

Esistono programmi dedicati per inviare newsletter, anche gratuiti come phplist, che richiedono pochi sforzi informatici ed economici per essere messi a punto.