feed
top
crea forum
cerca
feed
forum
supporto
discussione
cerca
Stellar Blade
Un'esclusiva
PS5
che sta facendo discutere per l'eccessiva bellezza della protagonista. Vieni a parlarne su
Award & Oscar!
Forum Pesca - Fishingforum.it - Pesca Forum
Forum Pesca - Fishingforum.it The Sportfishing Company - Pesca Forum
Cerca
Off - Topic
Accedi
NEWS SECURITY
Messaggi
lorette
0
0
07/07/2006
17:24
SECURITY
Quando l'intrusione è a fin di bene
Un giovanissimo smanettone trova una falla in un sito italiano, vi penetra e lo ripara da solo. Lezioni di sicurezza per tutti.
La coabitazione è sempre un rischio, anche in informatica. Anzi, soprattutto in informatica, perché se si ha l'imprudenza di affidare il proprio sito a chi lo mette in "coabitazione" sul server insieme ad altri siti senza prendere le opportune precauzioni, può bastare una falla in uno dei siti "coinquilini" per dare accesso all'intero sistema e quindi anche alle pagine Web degli altri siti.
E' quello che è successo a un server appartenente a uno dei più grandi gruppi editoriali siciliani, che ha messo a repentaglio circa 150 siti in co-hosting.
Tutto inizia da una provocazione banale: un battibecco in chat fra un giovane smanettone e autore di libri d'informatica, il quindicenne S.A , e una persona che chiamerò Francesco (non è il suo vero nome). S.A analizza il sito del provocatore con gli strumenti pubblicamente disponibili in Rete e si accorge che è ospitato da un editore siciliano e che usa il software open source dBlog 1.4. Il server gira usando Microsoft Internet Information Server (IIS).
S.A attinge a una falla di Blog documentata da quasi un anno e in pochi minuti accede all'amministrazione del blog del provocatore. Tuttavia non ha intenzioni vandaliche: si limita a inviare al server uno speciale script di prova, usando l'apposita funzione (mal configurata) di upload di file. Fatto questa banalissima operazione, ha accesso a tutti i file del server e non più soltanto a quelli di Francesco.
Fra i file del server ci sono quelli di tutti i siti ospitati (sono oltre 150). S .A crea una pagina Web di prova sul server e verifica che è visibile dall'esterno. In altre parole, a questo punto chiunque avrebbe potuto alterare tutti i siti ospitati, nel più classico dei defacement di massa.
Ma S.A non è il tipo da defacement, per cui cancella il file creato e si precipita ad avvisare l'editore che il suo sito ha una falla gravissima. Ha lasciato intatti i log in modo da rendere chiara la facilità della tecnica di intrusione utilizzata, e nell'andarsene dal sito ha riparato la falla usata per penetrarlo. Ma ne restano altre.
L'errore di configurazione del server, racconta S.A, è "imperdonabile", perché rivela l'"assenza di limitazioni da parte di IIS (che è stato configurato male) e la presenza di permessi di scrittura/modifica/eliminazione ovunque". Prassi purtroppo assai diffuse, perché la gestione corretta dei permessi è un fastidio che intralcia il lavoro, e così si permette tutto a tutti per non tribolare. La conseguente facilità con la quale è avvenuta l'intrusione è molto educativa.
La storia ha anche un ulteriore lieto fine, che poteva anche non esserci, visto che l'intrusione informatica, anche se fatta a fin di bene, rimane comunque un reato e quindi il titolare del sito avrebbe potuto inguaiare seriamente il giovane S.A. Invece non se l'è presa (forse anche perché la sua figuraccia non è stata resa pubblica con nomi, cognomi e ragioni sociali degli interessati), ma anzi ha ringraziato Aranzulla per l'aiuto; un gesto lodevole e insolitamente sportivo, visto che non è facile reagire con garbo quando un quindicenne dimostra di saperne più del responsabile del sito.
Il problema, in casi come questi, è che in realtà bisogna resistere alla tentazione di intervenire, limitandosi a segnalare ai titolari l'esistenza della falla. Ma molto spesso queste segnalazioni vengono ignorate, e allora ci si trova di fronte al dubbio: lasciare il sito vulnerabile o intervenire, violando la legge, per prevenire un disastro?
La risposta non è semplice, anche perché se poi il server subisce un defacement, è facile che i primi sospetti cadano proprio su chi innocentemente ha segnalato la falla e quindi aveva perfetta conoscenza di come commettere l'atto vandalico.
L'intera vicenda, con le schermate e i dettagli dell'exploit, è :
SUL SITO KLIKKATE QUI :
Visualizza l'intera discussione
Registrati
Accedi
Off - Topic
Accedi
IL MIO PROFILO
LE MIE DISCUSSIONI
FORUM CHE SEGUI
LA MIA FORUM-CARD
MODIFICA FORUM-CARD
FAQ
TRADUCI
LOGOUT
Accedi
Registrati
FAQ
TRADUCI
Scatta o carica foto
Allega file
Inserisci link da url (card)
Incorpora url (YouTube/Twitter/...)
ACCETTA
RIFIUTA
Anteprima