[e-privacy] Attacco a poste.it: vecchia zolfa o nuova minaccia?

[vecna]

Gabriele Zannerini wrote:
> A parte l'utilizzo improprio della parola "hacker" (per il quale oramai 
> uno c'ha fatto il callo), da quanto ho capito è stato messo in atto 
> soltanto un dafacement della home page del sito; però, fra cambiare il 
> contenuto di un file e leggere i dati degli account dei clienti mi 
> sembra che ne passi molta di acqua sotto il mulino.

e non solo, passan molti permessi di differenza tra un server e l'altro :)

> Infatti, suppongo che i dati dei clienti siano memorizzati in un 
> database, e, ammesso che chi ha progettato il sistema di sicurezza non 
> sia uno sprovveduto (o meglio, un incompetente), abbia cifrato in 
> qualche modo ciascuna entry (es. con la password dell'utente + 
> qualcosa--salt, timestamp, etc.) o il database intero (con una qualche 
> chiave) o entrambi.

mmhh.. di solito la protezione di un "sistema" è dato dal fatto che i
dati sensibili non risiedano nello stesso posto in cui stanno quelli
meno importanti.

nel caso specifico, i file del webserver staranno plausibilmente su un
server, e i database altrove. plausibilmente, gli applicativi della
posta su un ulteriore server.

questa cosa è da specificare (e sperare :) perché, nonostante sia vero
che aver accesso ai file del web non pregiudichi l'accesso ai dati, c'e'
da pensare che gli utenti si relazionano a quel sistema passando tramite
il web. un attacco ipotetico, si potrebbe basare sulla modifica del
software applicativo della posta (software che va a gestire i dati degli
utenti), e anche se l'attaccante non ha avuto accesso a "tutto il
database" puo' in questo modo salvare/modificare/inviarsi i dati man
mano messi dagli utenti che stanno usando il suo software modificato.

per fare un esempio piu' concreto: quando viene fatta una frode al
bancomat gli attaccanti non accedono al database della banca, accedono
al bancomat, modificano la tastiera o il lettore, fanno in modo di
registrarsi i dati della striscia magnetica + PIN, e quei bancomat se li
possono clonare.

"potenzialmente" sostituisci bancomat con webserver, e l'effetto è lo
stesso.

poi va detto che ci sono mezzi di sicurezza informatica che possono
proteggere da queste modifiche, solo non so, quanto le poste si possano
essere spinte a mettere dei software di integrity check sui propri server.

> Le mie domande sono:
> 1) non vi sembra che a volte vi sia un insensato allarmismo alla notizia 
> di un attacco informatico, che risulta molto più che controproducente 
> all'obiettivo dell'abbattimento del digital divide, limitando 
> l'incremento del numero di persone che quotidianamente ed attivamente 
> utilizzano la rete (es. online banking, e-commerce, etc.)?

l'insensato allarmismo è indubbio, ma devi considerare che il web è la
facciata di un sistema... e il media generalista va poco piu' a fondo
della facciata.

per fare un esempio piu' concreto: se all'apertura di una banca si trova
l'inferiata fusa e il vetro sfondato, quel giorno la banca non apre e i
clienti saranno imparanoiati. se invece un bancomat è stato
trojanizzato, il danno c'e' ma non si vede.

la "percezione" della sicurezza non è un valore facilmente insegnabile!


> Chi può trarne profitto dal limitare l'uso della rete?

questa domanda è un po' azzardata e sa di cospirazione. è un po'
azzardata semplicemente perché si tratta di un deface ad un sito molto
in vista. se ci fosse una serie di deface a tutte le banche italiane, ed
un costante bombardamento mediatico sull'insicurezza della rete, allora
si, mi farei questa domanda... ma non mi sembra sia gia' il momento :)

> Oppure questi allarmi sono dovuti a semplice ignoranza di chi scrive le 
> notizie?

non lo so, mi pare, a memoria, che alessandro longo, l'autore di:
http://www.repubblica.it/2009/10/sezioni/cronaca/poste-attacco/poste-attacco/poste-attacco.html
scriva solitamente di politica interna.

Il giornalista tecnico che invece mi piace leggere è vittorio zambardino.

> Tanto per spiegare il senso della domanda, mi viene in mente qualche 
> giorno fa la notizia degli account "rubati" a utenti hotmail e gmail: a 
> nessuno è venuto in mente di enfatizzare il fatto che le vittime erano 
> state oggetto di phishing?

non proprio, ho ricevuto spam da parte di alcuni miei amici e questi
subito dopo si sono scusati dicendo che qualcuno gli aveva preso accesso
all'account. Da quel che ho capito, non si tratta di phishing diretto ai
danni di gmail/hotmail, ma una tra le due:

1) usavano la stessa password su svariati siti di social network, e dove
l'accesso è tramite un'username che è composto da un indirizzo email
(facebook ?). chi prende quella password, ha buona probabilità di
accedere all'email.

2) uno dei browser helper di internet explorer. un trojan a livello di
browser che, analogamente a quando il browser capisce che c'e' una
password e ti offre di ricordarsela, il trojan la riconosce e la salva.

> Io non me lo spiego proprio...ed ogni volta che voglio comprare qualcosa 
> su internet è una lotta sempre più accanita con mia madre ("ma che sei 
> matto?", "ci rubano i soldi!!!").

questo è comprensibile che avvenga in individui che, vista un'anomalia,
fanno una regola.

è una tendenza giornalistica (e oserei dire, disinformativa) molto
diffusa. consiste nel non dar fede alle statistiche delle frode/dei
crimini, ma nel prendere casi singoli con degli elementi in comune e
parlarne.

Non c'e' dubbio che siano casi di cronaca per cui ne valga la pena
discuterne.

non c'e' neppur dubbio che siano avvenuti davvero.

Ma agli occhi di chi non fa un'analisi obiettiva e razionale (e per
farla, devi sia averne le facolità, i dati, l'interesse e *sapere che
esista*), il nesso che lega queste anomalie diventa una regola.

> 2) Nel caso specifico dell'attacco al sito delle poste, c'è veramente il 
> rischio che qualcuno possa ricavare i dati gli utenti? Se sì, che tipo 
> di attacco andrebbe perpretato? Quali strumenti per decriptare tali dati?

la crittografia di cui hai parlato è possibile che sia implementata, ma
lo ritengo fortemente difficile. Poi vabè, tutto il mio discorso sulle
poste è fortemente teorico, puo' anche essere che gli attaccanti
effettivamente avessero accesso a tutti i server da root remoti. E' solo
statisticamente meno possibile, ma non credo ci sarà mai un report da
parte di poste.it che spiega come sono stati bucati.

e anche se mai dovesse uscire, mi chiederei se è vero :P




ciao,
v

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 250 bytes
Desc: OpenPGP digital signature
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20091011/029bade2/attachment.pgp>