Attacco poste.it – Hacker defacciano il sito di Poste Italiane

Apprendo la notizia che il sito di Poste Italiane è stato defacciato. A questo punto il messaggio apparso a seguito dell’attacco al sito poste.it non può che essere condiviso .
Sabato 10/10/2009 alle ore 19:00 alcuni hacker (o forse uno soltato) hanno violato i sistemi di Poste Italiane con un attacco informatico.

A stretto giro di ruota subentra un sentimento di frustrazione. Le comunicazioni di Poste Italiane ci descrivono una situazione tranquilla, ma questi comunicati  non riescono a lenire il disappunto. Come al solito i comunicati stampa ed i messaggi inviati dai media in casi come questi non possono che essere rassicuranti.
Dicono: “Il sito poste.it ha subito un defacement, ma ne avvengono migliaia ogni giorno” – mal comune, mezzo gaudio, o no? – e subito dopo affermano che “comunque tutti i dati sono al riparo, nessuna fuga di informazioni, nessun reale pericolo” ed ancora usano paroloni roboanti per rassicurarci, cose come “le squadre di ingegneri delle control room”.

Sì!  Ma nel frattempo Mr.Hipo e StutM sono già penetrati nei loro sistemi, hanno defacciato la home page del sito, ed hanno anche lasciato un messaggio eloquente. Il sito poste.it, incluso nella top 50 dei siti italiani, dove ogni giorno milioni di utenti inseriscono le loro credenziali d’accesso – e senza considerare la natura dei servizi offerti -, è stato violato (ownato, o posseduto per chi non ama l’inglese).

una delle tante immagini del defacement

una delle tante immagini del defacement

Mr.Hipo e StutM lasciano un messaggio dove spiegano a modo loro le ragioni di questo attacco brutale.

Dicono che non hanno “toccato” gli account degli utenti e di non essere malintenzionati. E lanciano una domanda agli utenti di poste.it (il sito attaccato): “Cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”.  Già, che cosa succederebbe?
Secondo Poste Italiane “il defacement è un’azione dimostrativa abbastanza comune” con un attacco di questo tipo non è il caso di preoccuparsi “è solo un ‘defacement’ che riguarda il sito informativo di Poste.it”, non accade assolutamente nulla, nessun pericolo, succede migliaia di volte al giorno anche ad altri siti – lo definiscono “fisiologico” – ed escluso il disagio arrecato ai suoi clienti/utenti per la sospensione del servizio – almeno questo appare innegabile – non ci sono conseguenze degne di nota, ne motivo di preoccupazione.

Purtroppo mi sento di dissentire.
Apprendo con amarezza in un articolo sul sito Repubblica.it che “il sito di Poste.it è stato sfregiato dai pirati. Dopo 30 minuti i responsabili se ne sono accorti e hanno messo il sito offline, rendendolo quindi non più raggiungibile dagli utenti” (aggiornamento: il comunicato ufficiale su poste.it parla di “pochi minuti“).
A mio parere è inquietante che, anche solo per un attimo, il defacement sia rimasto visibile agli utenti. Un sito come poste.it per la natura dei servizi che offre, per il numero delle utenze e non ultimo per il fatturato di Poste Italiane dovrebbe essere dotato di un IDS adeguato, cioè di un sistema in grado di analizzare, rilevare e rispondere ad eventuali intrusioni per esempio assicurandosi che le pagine siano sempre coerenti e prive di alterazioni non autorizzate. Un IDS per intendersi non è una persona che tra un caffè ed un cornetto ricarica la pagina per assicurarsi che non ci siano modifiche, ma un sistema software/hardware molto sofisticato, in grado di rilevare un defacement nell’esatto istante in cui si verifica, se non addirittura in anticipo – dato che peraltro rilevare un defacement è tecnicamente un operazione semplicissima.

Leggo invece che l’intrusione è stata rilevata dopo 30 minuti (“pochi minuti” secondo la ricostruzione ufficiale) e che ad accorgersi del fatto sono stati “i responsabili”. Se i tempi fossero veramente questi (ovvero 30min tra il defacement e la rilevazione), come riporta La Repubblica, credo che sia il caso di allibirsi. 30 minuti indicano che con probabilità quasi assoluta ad identificare il defacement sono stati per primi gli ignari utenti del sito. Le immagini sul defacement che girano nella rete, e sono ognuna diversa dall’altra, mi segnalano che in molti hanno visto la pagina defacciata e questo sembra avvalorare peraltro l’ipotesi sconcertante citata senza particolari accenti da Repubblica.it.
Ad ogni modo anche i “pochi minuti” citati della ricostruzione ufficiale non riescono a rasserenarmi.

“Hacked – stavolta siamo stati buoni ma possiamo fare molto di più”

Così titolano in molti, eppure a vedere le immagini che girano in rete il messaggio che hanno lasciato Mr.Hipo e StutM non è certo questo. Ma si sà, i miracoli del giornalismo d’assalto ed i suoi piloti se ne fregano se le informazioni che passano sono corrette. Con un titolo simile a quello riportato pare che  l’obbiettivo fosse minacciare, terrorizzare. Ma è davvero così? Questo mi spinge ad una riflessione. Dal canto suo Poste Italiane, nella comunicazione ufficiale su poste.it, riassume dicendo che il messaggio lasciato dal defacement è “una nota in cui gli hacker spiegavano che si trattava di un’azione dimostrativa”.

Mr.Hipo e StutM sono in buonafede? Non ci è dato saperlo. Potrebbero aver mentito nel messaggio lasciato. Di fatto potrebbero anche aver violato le informazioni sugli account e non averlo detto, anzi potrebbero aver detto di non averlo fatto proprio con l’intento di coprire l’operazione.
Ma Poste Italiane dice di no, dice che i dati sono al sicuro e dopo l’intervento della Polizia Postale, risulta che questo è vero. Fidiamoci, non è possibile che siano così irresponsabili da negare una fuga di dati/credenziali, esponendo i propri utenti a gravi conseguenze future e l’intervento della Polizia Postale deve rassicurarci.
Tuttavia appare altrattanto vero che Mr.Hipo e StutM (gli hacker che hanno violato e defacciato il sito poste.it) hanno dichiarato l’attacco rendendolo pubblico (almeno al momento della sua conclusione) ed hanno lanciato anche un messaggio. Molto probabilmente, se fossero stati malintenzionati, avrebbero evitato di dichiarare l’attacco ed avrebbero adottato tecniche per camuffarsi ed evitare di far individuare la loro intrusione, anche in futuro. Invece si sono dichiarati.

“Cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre” a defacciare Poste.it? – Già, che cosa succederebbe?

Difficile dirlo con certezza, ma per ipotesi potrebbe accadere che:

  • non sarebbe inserito uno sfondo nero, con un immagine molto esplicativa, dichiarando l’attacco
  • sarebbero modificate solo piccole porzioni di codice sulla pagina senza conseguenze di tipo estetico
  • i dati inviati dagli utenti, per esempio attraverso il modulo di autenticazione, sarebbero inviati a siti esterni o comunque entrerebbero in possesso degli intrusi; ignari utenti (provabilmente decine di migliaia) inserirebbero il proprio nome utente e la propria password rendendola nota a chi ha effettuato l’attacco
  • le alterazioni scomparirebbero dopo 10-15 minuti, molto meno dei 30 minuti serviti ai “responsabili” per rilevare l’intrusione e chiudere il sito poste.it – in base a quanto citato da Repubblica.it oppure dei “pochi minuti” citati dal comunicato ufficiale di Poste Italiane

Sempre secondo un simile scenario ipotetico, il database di Poste Italiane potrebbe rimanere immacolato com’è avvenuto in questo episodio, ma in via ipotetica potrebbero non rendersi conto dell’attacco.
Ma quello che più ci interessa è il possibile danno alla privacy degli utenti in un simile scenario ipotetico. Potrebbe essere gravissimo: account in mano a chissà chi, assieme a tutti i dati a disposizione con gli accessi sottratti (numeri di conto, movimenti, estratti conto, email, ecc.), perlomeno per un breve tempo o anche indefinitamente nel caso fosse impossibile ricostruire quali dati sono stati sottratti e bloccare gli account a rischio.
Ecco, ora sappiamo quello che potrebbe ipoteticamente accadere semplicemente modificando la stessa pagina alterata da Mr.Hipo e StutM dove difatti il modulo di autenticazione (form) sopra citato risiede.

A questo punto dovremmo chiederci:  Mr.Hipo e StutM invece di lasciare un messaggio, come hanno fatto, potevano veramente fare di peggio o il loro è solo un bluff? Sono dei criminali perchè hanno violato la legge, ma ciò che dicono è vero oppure è falso, pongono un problema reale o vogliono solo gettare discredito? Non sono io a poter dare una risposta certa a queste domande, ma vale la pena di formarsi un opinione e ricercare una risposta. Fate vobis.

Il comunicato ufficiale pubblicato su poste.it

Tags: , , , , , , , , ,

About Giulio Turetta

Sviluppo e curo siti web dal 1998, amo internet e le opportunità che ci offre. Grazie anche a te, che fai parte di questo mondo fantastico.

3 responses to “Attacco poste.it – Hacker defacciano il sito di Poste Italiane”

  1. Marco says :

    Trovo veramente interessante questo articolo!
    Soprattutto mi sembra ben scritto e tiene conto di diverse opinioni: io ti dico quello che so: Mr.Hipo e StutM è vero che hanno violato la legge hackerando quel sito ma è altrettanto vero che non hanno sottratto dati sensibili, inoltre trovo che la figura di merda fatta dalle poste sia bella spessa.. e si stanno solo coprendo di ridicolo dicendo: non hanno toccato nulla, non si poteva accedere ai dati. cazzate. se l’hanno scritto ci sarà un motivo. ti chiederai com’è faccio a credere cosi ciecamente a questi due personaggi misteriosi..bene, ci credo a loro perchè di gente che faceva attivismo nel web ne ho conosciuta e nessuno di questi a mai avuto il bisogno di dire una balla in una situazione simile.

    Adesso la polizia postale sta indagando.. vorrei tanto vedere come va a finire.. alla faccia della control room -.-

  2. Giulio Turetta says :

    @Marco grazie per i complimenti, sono lusingato🙂
    Ho cercato di scrivere l’articolo nel modo più chiaro possibile, senza sbilanciarmi o farmi trasportare – nonostante gli innumerevoli motivi per farlo, uno tra i tanti… sono loro cliente. Ho cercato anche di rimanere il più obiettivo possibile ed ho ritoccato più volte la pagina proprio per raggiungere questo risultato.
    Io personalmente credo a chi ha effettuato l’attacco almeno per una serie di motivi, alcuni citati nell’articolo.
    Aggiungo che, nonostante quello che si legge in giro, non ha alcun senso pensare che un azienda simile non tenga alla propria reputazione, specie con l’attività frenetica e riuscitissima degli ultimi anni in questo senso. Dunque mi pare assurdo credere che esistano zone dove la sicurezza è a livello “A” e zone in cui è a livello “Z” come passa in questi giorni su diversi blog.
    Il fatto che un attacco porta _sempre_ ad un escalation di privilegi è risaputo e quindi va sempre evitato. Inoltre mettiamoci il danno all’immagine ed è presto individuata la risposta. Anche quella parte del sito doveva essere a livello A.
    La presenza del form di login è indicativa di per se, e come ho già scritto, se volevano potevano lasciare intatta la home recuperando i dati anche mentre gli utenti li inserivano nel form, prima dell’invio, a mio parere senza particolari difficoltà. Per questo dico che è gravissimo che un defacement non sia stato rilevato ed isolato in pochi decimi di secondo. E’ andato tutto bene perchè come dice/dicono gli hacker non c’erano cattive intenzioni.
    Un altra ipotesi ulteriore problema di sicurezza a seguito del defacement riguarda i cookie. Giusto per capire che grado di sicurezza ha il sito ho controllato ed i cookie del login, che identificano la sessione, sono condivisi tra tutti gli host *.poste.it ed alcuni sono vincolati a www. Ma essendo stato defacciato www ne consegue che nel caso di malintenzionati potevano potenzialmente appropriarsi della sessione ovvero dell’identità degli utenti già loggati.
    Sono tutte ipotesi è chiaro, comunque come hai ben riassunto hanno fatto una gran bella figura di M.

    Aggiungo, non posso chiaramente verificare la fonte, come sempre fate vobis, ma dare un occhiata al link che segue potrebbe risultare interessante:

    http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/

    A quanto pare parlano proprio della vulnerabilità che è stata sfruttata e che a quanto pare era nota da tempo, e non solo, era anche stata segnalata stando a quello che recita il post “Until today (09-08-2009), Poste Italiene has not responsed in any way and the parameter is still vulnerable, exploitable.”

  3. Oggi sono io says :

    La mia opinione è che la faccenda è SERIA! Il sistema non è sicuro e il sistema di protezione va revisionato! Questi ragazzi hanno messo in evidenza la mancanza di sicurezza, ma se invece di fare un defacement avessero bucato il database senza alcuna forma di defacement?? Molti di noi si sarebbero ritrovati coi conti prosciugati senza che il sito “esteticamente” avesse subito danni! RENDIAMOCI CONTO QUINDI DEL MESSAGGIO CHE QUESTI HACKER CI HANNO DATO!!!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: