Apprendo la notizia che il sito di Poste Italiane è stato defacciato. A questo punto il messaggio apparso a seguito dell’attacco al sito poste.it non può che essere condiviso .
Sabato 10/10/2009 alle ore 19:00 alcuni hacker (o forse uno soltato) hanno violato i sistemi di Poste Italiane con un attacco informatico.

A stretto giro di ruota subentra un sentimento di frustrazione. Le comunicazioni di Poste Italiane ci descrivono una situazione tranquilla, ma questi comunicati  non riescono a lenire il disappunto. Come al solito i comunicati stampa ed i messaggi inviati dai media in casi come questi non possono che essere rassicuranti.
Dicono: “Il sito poste.it ha subito un defacement, ma ne avvengono migliaia ogni giorno” – mal comune, mezzo gaudio, o no? – e subito dopo affermano che “comunque tutti i dati sono al riparo, nessuna fuga di informazioni, nessun reale pericolo” ed ancora usano paroloni roboanti per rassicurarci, cose come “le squadre di ingegneri delle control room”.

Sì!  Ma nel frattempo Mr.Hipo e StutM sono già penetrati nei loro sistemi, hanno defacciato la home page del sito, ed hanno anche lasciato un messaggio eloquente. Il sito poste.it, incluso nella top 50 dei siti italiani, dove ogni giorno milioni di utenti inseriscono le loro credenziali d’accesso – e senza considerare la natura dei servizi offerti -, è stato violato (ownato, o posseduto per chi non ama l’inglese).

una delle tante immagini del defacement

Mr.Hipo e StutM lasciano un messaggio dove spiegano a modo loro le ragioni di questo attacco brutale.

Dicono che non hanno “toccato” gli account degli utenti e di non essere malintenzionati. E lanciano una domanda agli utenti di poste.it (il sito attaccato): “Cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”.  Già, che cosa succederebbe?
Secondo Poste Italiane “il defacement è un’azione dimostrativa abbastanza comune” con un attacco di questo tipo non è il caso di preoccuparsi “è solo un ‘defacement’ che riguarda il sito informativo di Poste.it”, non accade assolutamente nulla, nessun pericolo, succede migliaia di volte al giorno anche ad altri siti – lo definiscono “fisiologico” – ed escluso il disagio arrecato ai suoi clienti/utenti per la sospensione del servizio – almeno questo appare innegabile – non ci sono conseguenze degne di nota, ne motivo di preoccupazione.

Purtroppo mi sento di dissentire.
Apprendo con amarezza in un articolo sul sito Repubblica.it che “il sito di Poste.it è stato sfregiato dai pirati. Dopo 30 minuti i responsabili se ne sono accorti e hanno messo il sito offline, rendendolo quindi non più raggiungibile dagli utenti” (aggiornamento: il comunicato ufficiale su poste.it parla di “pochi minuti“).
A mio parere è inquietante che, anche solo per un attimo, il defacement sia rimasto visibile agli utenti. Un sito come poste.it per la natura dei servizi che offre, per il numero delle utenze e non ultimo per il fatturato di Poste Italiane dovrebbe essere dotato di un IDS adeguato, cioè di un sistema in grado di analizzare, rilevare e rispondere ad eventuali intrusioni per esempio assicurandosi che le pagine siano sempre coerenti e prive di alterazioni non autorizzate. Un IDS per intendersi non è una persona che tra un caffè ed un cornetto ricarica la pagina per assicurarsi che non ci siano modifiche, ma un sistema software/hardware molto sofisticato, in grado di rilevare un defacement nell’esatto istante in cui si verifica, se non addirittura in anticipo – dato che peraltro rilevare un defacement è tecnicamente un operazione semplicissima.

Leggo invece che l’intrusione è stata rilevata dopo 30 minuti (“pochi minuti” secondo la ricostruzione ufficiale) e che ad accorgersi del fatto sono stati “i responsabili”. Se i tempi fossero veramente questi (ovvero 30min tra il defacement e la rilevazione), come riporta La Repubblica, credo che sia il caso di allibirsi. 30 minuti indicano che con probabilità quasi assoluta ad identificare il defacement sono stati per primi gli ignari utenti del sito. Le immagini sul defacement che girano nella rete, e sono ognuna diversa dall’altra, mi segnalano che in molti hanno visto la pagina defacciata e questo sembra avvalorare peraltro l’ipotesi sconcertante citata senza particolari accenti da Repubblica.it.
Ad ogni modo anche i “pochi minuti” citati della ricostruzione ufficiale non riescono a rasserenarmi.

“Hacked – stavolta siamo stati buoni ma possiamo fare molto di più”

Così titolano in molti, eppure a vedere le immagini che girano in rete il messaggio che hanno lasciato Mr.Hipo e StutM non è certo questo. Ma si sà, i miracoli del giornalismo d’assalto ed i suoi piloti se ne fregano se le informazioni che passano sono corrette. Con un titolo simile a quello riportato pare che  l’obbiettivo fosse minacciare, terrorizzare. Ma è davvero così? Questo mi spinge ad una riflessione. Dal canto suo Poste Italiane, nella comunicazione ufficiale su poste.it, riassume dicendo che il messaggio lasciato dal defacement è “una nota in cui gli hacker spiegavano che si trattava di un’azione dimostrativa”.

Mr.Hipo e StutM sono in buonafede? Non ci è dato saperlo. Potrebbero aver mentito nel messaggio lasciato. Di fatto potrebbero anche aver violato le informazioni sugli account e non averlo detto, anzi potrebbero aver detto di non averlo fatto proprio con l’intento di coprire l’operazione.
Ma Poste Italiane dice di no, dice che i dati sono al sicuro e dopo l’intervento della Polizia Postale, risulta che questo è vero. Fidiamoci, non è possibile che siano così irresponsabili da negare una fuga di dati/credenziali, esponendo i propri utenti a gravi conseguenze future e l’intervento della Polizia Postale deve rassicurarci.
Tuttavia appare altrattanto vero che Mr.Hipo e StutM (gli hacker che hanno violato e defacciato il sito poste.it) hanno dichiarato l’attacco rendendolo pubblico (almeno al momento della sua conclusione) ed hanno lanciato anche un messaggio. Molto probabilmente, se fossero stati malintenzionati, avrebbero evitato di dichiarare l’attacco ed avrebbero adottato tecniche per camuffarsi ed evitare di far individuare la loro intrusione, anche in futuro. Invece si sono dichiarati.

“Cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre” a defacciare Poste.it? – Già, che cosa succederebbe?

Difficile dirlo con certezza, ma per ipotesi potrebbe accadere che:

• non sarebbe inserito uno sfondo nero, con un immagine molto esplicativa, dichiarando l’attacco
• sarebbero modificate solo piccole porzioni di codice sulla pagina senza conseguenze di tipo estetico
• i dati inviati dagli utenti, per esempio attraverso il modulo di autenticazione, sarebbero inviati a siti esterni o comunque entrerebbero in possesso degli intrusi; ignari utenti (provabilmente decine di migliaia) inserirebbero il proprio nome utente e la propria password rendendola nota a chi ha effettuato l’attacco
• le alterazioni scomparirebbero dopo 10-15 minuti, molto meno dei 30 minuti serviti ai “responsabili” per rilevare l’intrusione e chiudere il sito poste.it – in base a quanto citato da Repubblica.it oppure dei “pochi minuti” citati dal comunicato ufficiale di Poste Italiane

Sempre secondo un simile scenario ipotetico, il database di Poste Italiane potrebbe rimanere immacolato com’è avvenuto in questo episodio, ma in via ipotetica potrebbero non rendersi conto dell’attacco.
Ma quello che più ci interessa è il possibile danno alla privacy degli utenti in un simile scenario ipotetico. Potrebbe essere gravissimo: account in mano a chissà chi, assieme a tutti i dati a disposizione con gli accessi sottratti (numeri di conto, movimenti, estratti conto, email, ecc.), perlomeno per un breve tempo o anche indefinitamente nel caso fosse impossibile ricostruire quali dati sono stati sottratti e bloccare gli account a rischio.
Ecco, ora sappiamo quello che potrebbe ipoteticamente accadere semplicemente modificando la stessa pagina alterata da Mr.Hipo e StutM dove difatti il modulo di autenticazione (form) sopra citato risiede.

A questo punto dovremmo chiederci:  Mr.Hipo e StutM invece di lasciare un messaggio, come hanno fatto, potevano veramente fare di peggio o il loro è solo un bluff? Sono dei criminali perchè hanno violato la legge, ma ciò che dicono è vero oppure è falso, pongono un problema reale o vogliono solo gettare discredito? Non sono io a poter dare una risposta certa a queste domande, ma vale la pena di formarsi un opinione e ricercare una risposta. Fate vobis.

Il comunicato ufficiale pubblicato su poste.it