Comments on: Attacco poste.it – Hacker defacciano il sito di Poste Italiane http://blog.sviluppoweb.eu/2009/10/11/attacco-poste-it-defacciamento-poste-italiane/ ...between web and opensource Fri, 16 Jul 2010 21:15:59 +0000 hourly 1 http://wordpress.com/ By: Oggi sono io http://blog.sviluppoweb.eu/2009/10/11/attacco-poste-it-defacciamento-poste-italiane/#comment-433 Oggi sono io Sun, 27 Dec 2009 03:03:43 +0000 http://blog.sviluppoweb.eu/?p=123#comment-433 La mia opinione è che la faccenda è SERIA! Il sistema non è sicuro e il sistema di protezione va revisionato! Questi ragazzi hanno messo in evidenza la mancanza di sicurezza, ma se invece di fare un defacement avessero bucato il database senza alcuna forma di defacement?? Molti di noi si sarebbero ritrovati coi conti prosciugati senza che il sito "esteticamente" avesse subito danni! RENDIAMOCI CONTO QUINDI DEL MESSAGGIO CHE QUESTI HACKER CI HANNO DATO!!! La mia opinione è che la faccenda è SERIA! Il sistema non è sicuro e il sistema di protezione va revisionato! Questi ragazzi hanno messo in evidenza la mancanza di sicurezza, ma se invece di fare un defacement avessero bucato il database senza alcuna forma di defacement?? Molti di noi si sarebbero ritrovati coi conti prosciugati senza che il sito “esteticamente” avesse subito danni! RENDIAMOCI CONTO QUINDI DEL MESSAGGIO CHE QUESTI HACKER CI HANNO DATO!!!

]]> By: Giulio Turetta http://blog.sviluppoweb.eu/2009/10/11/attacco-poste-it-defacciamento-poste-italiane/#comment-158 Giulio Turetta Wed, 14 Oct 2009 20:27:03 +0000 http://blog.sviluppoweb.eu/?p=123#comment-158 @Marco grazie per i complimenti, sono lusingato :) Ho cercato di scrivere l'articolo nel modo più chiaro possibile, senza sbilanciarmi o farmi trasportare - nonostante gli innumerevoli motivi per farlo, uno tra i tanti... sono loro cliente. Ho cercato anche di rimanere il più obiettivo possibile ed ho ritoccato più volte la pagina proprio per raggiungere questo risultato. Io personalmente credo a chi ha effettuato l'attacco almeno per una serie di motivi, alcuni citati nell'articolo. Aggiungo che, nonostante quello che si legge in giro, non ha alcun senso pensare che un azienda simile non tenga alla propria reputazione, specie con l'attività frenetica e riuscitissima degli ultimi anni in questo senso. Dunque mi pare assurdo credere che esistano zone dove la sicurezza è a livello "A" e zone in cui è a livello "Z" come passa in questi giorni su diversi blog. Il fatto che un attacco porta _sempre_ ad un escalation di privilegi è risaputo e quindi va sempre evitato. Inoltre mettiamoci il danno all'immagine ed è presto individuata la risposta. Anche quella parte del sito doveva essere a livello A. La presenza del form di login è indicativa di per se, e come ho già scritto, se volevano potevano lasciare intatta la home recuperando i dati anche mentre gli utenti li inserivano nel form, prima dell'invio, a mio parere senza particolari difficoltà. Per questo dico che è gravissimo che un defacement non sia stato rilevato ed isolato in pochi decimi di secondo. E' andato tutto bene perchè come dice/dicono gli hacker non c'erano cattive intenzioni. Un altra ipotesi ulteriore problema di sicurezza a seguito del defacement riguarda i cookie. Giusto per capire che grado di sicurezza ha il sito ho controllato ed i cookie del login, che identificano la sessione, sono condivisi tra tutti gli host *.poste.it ed alcuni sono vincolati a www. Ma essendo stato defacciato www ne consegue che nel caso di malintenzionati potevano potenzialmente appropriarsi della sessione ovvero dell'identità degli utenti già loggati. Sono tutte ipotesi è chiaro, comunque come hai ben riassunto hanno fatto una gran bella figura di M. Aggiungo, non posso chiaramente verificare la fonte, come sempre fate vobis, ma dare un occhiata al link che segue potrebbe risultare interessante: http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/ A quanto pare parlano proprio della vulnerabilità che è stata sfruttata e che a quanto pare era nota da tempo, e non solo, era anche stata segnalata stando a quello che recita il post "Until today (09-08-2009), Poste Italiene has not responsed in any way and the parameter is still vulnerable, exploitable." @Marco grazie per i complimenti, sono lusingato :)
Ho cercato di scrivere l’articolo nel modo più chiaro possibile, senza sbilanciarmi o farmi trasportare – nonostante gli innumerevoli motivi per farlo, uno tra i tanti… sono loro cliente. Ho cercato anche di rimanere il più obiettivo possibile ed ho ritoccato più volte la pagina proprio per raggiungere questo risultato.
Io personalmente credo a chi ha effettuato l’attacco almeno per una serie di motivi, alcuni citati nell’articolo.
Aggiungo che, nonostante quello che si legge in giro, non ha alcun senso pensare che un azienda simile non tenga alla propria reputazione, specie con l’attività frenetica e riuscitissima degli ultimi anni in questo senso. Dunque mi pare assurdo credere che esistano zone dove la sicurezza è a livello “A” e zone in cui è a livello “Z” come passa in questi giorni su diversi blog.
Il fatto che un attacco porta _sempre_ ad un escalation di privilegi è risaputo e quindi va sempre evitato. Inoltre mettiamoci il danno all’immagine ed è presto individuata la risposta. Anche quella parte del sito doveva essere a livello A.
La presenza del form di login è indicativa di per se, e come ho già scritto, se volevano potevano lasciare intatta la home recuperando i dati anche mentre gli utenti li inserivano nel form, prima dell’invio, a mio parere senza particolari difficoltà. Per questo dico che è gravissimo che un defacement non sia stato rilevato ed isolato in pochi decimi di secondo. E’ andato tutto bene perchè come dice/dicono gli hacker non c’erano cattive intenzioni.
Un altra ipotesi ulteriore problema di sicurezza a seguito del defacement riguarda i cookie. Giusto per capire che grado di sicurezza ha il sito ho controllato ed i cookie del login, che identificano la sessione, sono condivisi tra tutti gli host *.poste.it ed alcuni sono vincolati a www. Ma essendo stato defacciato www ne consegue che nel caso di malintenzionati potevano potenzialmente appropriarsi della sessione ovvero dell’identità degli utenti già loggati.
Sono tutte ipotesi è chiaro, comunque come hai ben riassunto hanno fatto una gran bella figura di M.

Aggiungo, non posso chiaramente verificare la fonte, come sempre fate vobis, ma dare un occhiata al link che segue potrebbe risultare interessante:

http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/

A quanto pare parlano proprio della vulnerabilità che è stata sfruttata e che a quanto pare era nota da tempo, e non solo, era anche stata segnalata stando a quello che recita il post “Until today (09-08-2009), Poste Italiene has not responsed in any way and the parameter is still vulnerable, exploitable.”

]]> By: Marco http://blog.sviluppoweb.eu/2009/10/11/attacco-poste-it-defacciamento-poste-italiane/#comment-157 Marco Tue, 13 Oct 2009 17:35:06 +0000 http://blog.sviluppoweb.eu/?p=123#comment-157 Trovo veramente interessante questo articolo! Soprattutto mi sembra ben scritto e tiene conto di diverse opinioni: io ti dico quello che so: Mr.Hipo e StutM è vero che hanno violato la legge hackerando quel sito ma è altrettanto vero che non hanno sottratto dati sensibili, inoltre trovo che la figura di merda fatta dalle poste sia bella spessa.. e si stanno solo coprendo di ridicolo dicendo: non hanno toccato nulla, non si poteva accedere ai dati. cazzate. se l'hanno scritto ci sarà un motivo. ti chiederai com'è faccio a credere cosi ciecamente a questi due personaggi misteriosi..bene, ci credo a loro perchè di gente che faceva attivismo nel web ne ho conosciuta e nessuno di questi a mai avuto il bisogno di dire una balla in una situazione simile. Adesso la polizia postale sta indagando.. vorrei tanto vedere come va a finire.. alla faccia della control room -.- Trovo veramente interessante questo articolo!
Soprattutto mi sembra ben scritto e tiene conto di diverse opinioni: io ti dico quello che so: Mr.Hipo e StutM è vero che hanno violato la legge hackerando quel sito ma è altrettanto vero che non hanno sottratto dati sensibili, inoltre trovo che la figura di merda fatta dalle poste sia bella spessa.. e si stanno solo coprendo di ridicolo dicendo: non hanno toccato nulla, non si poteva accedere ai dati. cazzate. se l’hanno scritto ci sarà un motivo. ti chiederai com’è faccio a credere cosi ciecamente a questi due personaggi misteriosi..bene, ci credo a loro perchè di gente che faceva attivismo nel web ne ho conosciuta e nessuno di questi a mai avuto il bisogno di dire una balla in una situazione simile.

Adesso la polizia postale sta indagando.. vorrei tanto vedere come va a finire.. alla faccia della control room -.-

]]>