Il tallone d'Achille del web

Tre importanti siti italiani erano vulnerabili ad attacchi portati via browser. Risolto il problema, Punto Informatico parla con quelli che i siti li costruiscono, e con quelli che ai siti fanno le pulci

Roma – Può capitare a chiunque di scovare un difetto in un software: quelli dei sistemi operativi sono leggendari ma ci sono anche i difetti nei software con cui sono realizzate le infrastrutture del web : e anche di questi, soprattutto negli ultimi tempi , si fa un gran parlare. Così capita che, nelle stesse ore, a Punto Informatico giungano tre segnalazioni di altrettanti problemi a siti piuttosto noti. In tutti e tre i casi si tratta di vulnerabilità di media entità, ma abbastanza serie da essere prese subito in considerazione. E in tutti e tre i casi si trattava di vulnerabilità XSS che, dopo la segnalazione di Punto Informatico , sono state eliminate in poche ore.

Si trattava del portale Rosso Alice di Telecom Italia, del sito della Camera dei Deputati e di una sezione della rete di contatto col pubblico del Comune di Milano . Tre nomi noti, quindi, che se fossero stati presi di mira da malintenzionati avrebbero potuto diventare uno strumento molto pericoloso : chi non si fiderebbe di una richiesta giunta dal sito di una istituzione?

Un problema non da poco, ma che non viene sottovalutato: in questo settore non si improvvisa nulla, spiega a Punto Informatico il direttore Servizi Informativi del Comune di Milano, l’ing. Alessandro Musumeci : “Per le nostre politiche di sicurezza ci atteniamo al Piano Generale di sviluppo per il quinquennio 2006-11, approvato dal Consiglio Comunale”. In passato, racconta, il sito del comune meneghino aveva già incontrato qualche difficoltà: “Ma la soluzione non è diminuire le risorse messe a disposizione, piuttosto bisogna lavorare per rendere i servizi più sicuri”.

Un problema non da poco, per una rete che solo all’interno delle strutture comunali conta oltre 10mila computer collegati e che gestisce un traffico sul web che può arrivare a 500mila pagine visitate ogni giorno , attraverso gli oltre 50 servizi a disposizione del cittadino. “Stiamo rivisitando la parte infrastrutturale – spiega il direttore – eliminando quella struttura a macchia di leopardo che metteva in comunicazione tra loro le molteplici isole di cui era composta la rete”.

Un’architettura che si esponeva più facilmente ad attacchi esterni anche a causa di una comunicazione insufficiente: “Capitava spesso che alcune porzioni del network fossero attaccate o isolate, e passasse molto tempo prima che qualcuno se ne accorgesse”. Ora invece una nuova rete in fibra ottica, in via di ultimazione, tiene sotto controllo costante tutte le risorse.

“La sicurezza non è una problematica tecnica – spiega Musumeci – bensì organizzativa: non la si può affrontare semplicemente installando l’ultimo antivirus, ma gestendo un cocktail di procedure da implementare e da tenere costantemente aggiornate e sotto controllo”. Per questo il Comune ha anche approntato un numero verde di riferimento, attraverso il quale transitano le eventuali segnalazioni di problemi tecnici: gli operatori che rispondono collaborano con i sistemisti e gli admin ad individuare e risolvere le falle, nel più breve tempo possibile .

E per il futuro ? “Stiamo già lavorando ad una nuova versione del sito, che risponda meglio alle esigenze della città in previsione dell’Expo del 2015”: i programmatori sono già al lavoro per aggiornare alcune webapp seguendo i dettami ITIL , e “in tutti i nuovi contratti stipulati queste procedure sono alla base di tutti i servizi di autenticazione”. Ma cosa succede dall’altra parte della barricata? Cosa fanno e come operano i bug hunter , coloro che passano le loro loro giornate (o più spesso le nottate) a fare pelo e contropelo ai siti in giro per il web? Punto Informatico lo ha chiesto a Matteo Flora , celebre esperto di sicurezza e bug hunter nel tempo libero.

Punto Informatico : Come si scoprono le vulnerabilità di un sito web?
Matteo Flora: Le falle si “scoprono” spesso e volentieri grazie all’esperienza, che fa subito emergere come lampanti eventuali errori trasportati dal mezzo di comunicazione. Dopo un po’ di tempo passato a ricercare questo tipo di vulnerabilità, l’osservare come vengono maneggiate ed inoltrate le richieste molte volte è tutto quello che serve per ipotizzare la presenza di talune problematiche.

PI: Questione di mestiere, di pratica?
MF: Non è certo magia né tantomeno mistero: solo metodo, spirito di osservazione e spesso impegno pregresso. “It’s not Rocket Science”, anche se devo ammettere che da taluni soggetti, spesso anche italiani, ho visto emergere strategie di exploiting degne dell’ammirazione di chi osserva un’artista all’opera.

PI: Quali sono le principali vulnerabilità in circolazione?
MF: Nell’ambito della WebApplication Security tra le vulnerabilità più diffuse abbiamo il Cross Site Scripting (esecuzione di codice javascript non autorizzato all’interno di pagine web), varie ed eventuali declinazioni di SQL Injection (possibilità di sovvertire la comunicazione con la base dati al fine di sottrarre o alterare le informazioni ivi contenute) e RFI, Remote File Inclusion (la possibilità in “includere” tramite falle codice malevole lato server in applicativi).

PI: E quali di queste si portano dietro maggiori rischi per il navigatore?
MF: Alcune di queste vulnerabilità, che di per sé potrebbero essere poco o nulla pericolose, possono con perizia e maestria essere declinate ad esempio in CSRF, Cross Site Request Forgery (il meccanismo mediante il quale un utente malevolo “penetra” in un sito protetto da password utilizzando le credenziali di un utente già loggato), che ovviamente rendono altamente pericolose anche vulnerabilità che sembrerebbero “banali”.

PI: Cosa occorre fare quando si scopre una falla?
MF: Personalmente dopo decine e decine di questi episodi ho deciso di pubblicare una precisa policy scritta , adattando al panorama normativo italiano la famosa dislcosure policy di RFP (RainForrest Puppy).

PI: In cosa consiste?
MF: Il contenuto è breve e preciso: la vulnerabilità viene comunicata al vendor (proprietario del sito, del prodotto o ditta ed ente responsabili) e ci si attende una conferma della ricezione entro 5 giorni. Se la risposta non arriva si ritenta e si attendono altri 5 giorni.

PI: Se non arriva alcuna risposta?
MF: Se ancora una volta la risposta non arriva in nessuna forma, si pubblica la vulnerabilità dopo essersi sincerati di avere un contatto (quando possibile) con responsabili di sicurezza, admin, abuse, responsabili stampa o call center.

PI: E se invece gli interessati rispondono?
MF: Se invece si viene contattati allora si spiega in modo estremamente preciso tutta la problematica e si decide mutualmente come procedere. Non è necessario risolvere immediatamente la vulnerabilità, basta dare una scadenza compatibile con il buon senso.

PI: La storia finisce qui?
MF: Trascorsa la scadenza ed una volta che la vulnerabilità è stata sanata si procede in coppia o singolarmente a comunicare la vulnerabilità ritrovata: questo per un duplice motivo.

PI: Quale?
MF: Innanzitutto per permettere agli utenti che non avessero fatto un upgrade alla nuova versione di sapere che è necessario un upgrade viste le problematiche incontrate, ed in secondo luogo per permettere ad altri ricercatori indipendenti di controllare se la problematica si riflette anche su altri prodotti simili o simili realtà. Succede infatti spessissimo che una vulnerabilità su un prodotto o servizio sia riproponibile in ambiti simili o derivati.

PI: Ma chi sono i bug hunter, perché fanno quello che fanno?
MF: Se lo chiedono in molti… Alcuni ci vedono come esaltati in cerca di fama e gloria imperitura, altri come schizofrenici maniaci di protagonismo (che per diamine ci può stare, ma dopo un po’ è discretamente tedioso). Alcuni ci vedono come prezzolati cacciatori di teste o come ricattatori di società, ma anche qui non ci siamo: nessuno di noi, se serio, accetta soldi dalle società trovate vulnerabili per “tacere” su questa o quella falla.

PI: E allora perché?
MF: Almeno nel mio caso, e di quegli italiani e non che ho avuto modo di conoscere e stimare (e ce ne sono tantissimi!), siamo fermamente convinti che le società non stiano minimamente interessandosi della sicurezza come primo approccio, della sicurezza come tutela degli utenti in primis e della collettività in generale.

PI: Una questione sociale ed etica?
MF: Lo facciamo perché ci piacerebbe che i nostri dati fossero conservati gelosamente e con la massima attenzione: vedere società che non lo fanno magari per un errore o una svista fa scattare il desiderio di miglioramento. Si segnalano, le vulnerabilità, e si diffondono al grande pubblico solamente quando (spessissimo, ahimé) anche a distanza di mesi dalla segnalazione permangono online e non vengono sanate.

a cura di Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • m00f scrive:
    Era scritto da anni
    ma dai era scontato che non si potesse continuare con le schede pci aggiuntive...
  • Pippo Franco scrive:
    Qualcuno l'aveva detto
    11 Gennaio, http://www.appuntidigitali.it/542/il-futuro-di-ageia-dopo-lacquisizione-di-havoc/
  • IF(J==ILOTA || J==JAY) scrive:
    Finalmente UT3 nativo per linux
    Alla faccia di chi faceva giochetti sulle licenze.Bella lì!(linux)
    • NoMoney scrive:
      Re: Finalmente UT3 nativo per linux
      - Scritto da: IF(J==ILOTA || J==JAY)
      Alla faccia di chi faceva giochetti sulle licenze.
      Bella lì!

      (linux)Ma che c'entra??Fonti?
      • openarena scrive:
        Re: Finalmente UT3 nativo per linux

        Ma che c'entra??Fonti?una tra le tante:http://blog.linux-fueled.com/?p=46qualcosa c'entra dai.
    • kattle87 scrive:
      Re: Finalmente UT3 nativo per linux
      ho l'impressione che hai cannato notizia...
      • IF(J==ILOTA || J==JAY) scrive:
        Re: Finalmente UT3 nativo per linux
        nono è quella giusta...perchè la chiave sta proprio qui...UT3 per linux è già pronto e funzionante, solo che non viene distribuito per problemi di licenza con il motore PhysXnon che AGEIA odi il pinguino, ma magari subisce le pressioni di qualcuno, i soliti ignoti... (newbie)ora che PhysX è di nvidia la strada è in discesa(linux)
  • kattle87 scrive:
    AGEIA ottima qualità
    Anche solo via CPU le capacità fisiche sono impressionanti... All'inizio ero scettico ma devo ammetterlo il motore fisico è molto realistico e risponde bene a stimoli di vario tipo :) se adesso lo riescono a far girare bene senza bisogno di acquistare una scheda aggiuntiva sarà una manna per i fissati della supergrafica megaeffetto ultracazzuto....poi magari tra 10 sarà anche usato per fare qualcosa di serio come oggi il 3D (che 15 anni fa era un lusso) :D
    • ... scrive:
      Re: AGEIA ottima qualità
      un mio amico ha provato la scheda acceleratrice physx con Crysis, ha detto che gira meglio senza :) (su un dual core E6850, quindi fsb a 1333 e 3ghz)devono farne di strada ancora a livello hardware, lato software physx è un buon prodotto, molto realistico nelle simulazioni
Chiudi i commenti