Web sotto attacco

[Billow]

Come segnalato in queste ultime settimane, dopo gli attacchi a Hotmail e a Gmail (che hanno raggiunto la ragguardevole quota di oltre 30.000 profili hackerati), ci viene segnalato sia in atto una massiccia campagna a tappeto per lo spoofing di caselle di posta online, da parte di Hackers brasiliani e dell'Est Europa.

Di recente è stato colpito anche il sito di POSTE.it che ha subito un attacco con DDOS e relativo defacing della Homepage, anche se a detta dei responsabili, non sono stati toccati i profili degli utilizzatori di carte Postepay.

Gli attacchi vengono portati da server di varie università mondiali , utilizzando la cosidetta tecnica del ping pong , saltando ogni Tot minuti da un server all'altro e rendendo di fatto improponibile un "inseguimento" del malfattore di turno.

Inoltre ci sono stati molti casi di utenti che infettati da malware, si sono ritrovati a fare essi stessi da inconsapevole tramite per gli attacchi verso uno a più siti web , non ultimi i più famosi siti di social networking quali Youtube e Facebook, con malware creati ad Hoc, che sono scattati in contemporanea in tutto il mondo, utilizzando un metodo simile a quanto avvenne nel lontano 1991 per il virus Michelangelo .

Nel caso delle catene di sant'Antonio via Email, queste possono andare oltre la semplice burla, per divenire una vera e propria truffa finalizzata alla raccolta di indirizzi per lo spamming (invio di grandi quantità di e-mail indesiderate). È di questi giorni la notizia che la Commissione europea ha invitato i governi a imporre sistematicamente sanzioni severe contro i responsabili dello spamming, un flagello che colpisce attualmente il 65% degli europei (il 64% degli italiani), secondo un recente sondaggio. Ci sono ad esempio i messaggi che promettono un cellulare gratis in cambio dell'inoltro, ad altri venti destinatari, dello stesso mssaggio. E per essere certi dell'avvenuta spedizione bisogna inviarne un'altra copia, con i 20 indirizzi in chiaro, ad un ulteriore indirizzo specificato nel corpo del testo. Ecco un modo veloce ed efficace per raccogliere senza fatica migliaia e migliaia di indirizzi di e-mail, pronti da usare per inviare spam. Dunque è sempre bene avere attivo l'anti-spam e non aprile e-mail sospette.

Il consiglio che possiamo darvi è sempre lo stesso :

NON credere alle email che possano avere anche un minimo fondo di NON verità (scusateci il gioco di parole) e che chiedono dati o promettono soldi , Casco in testa bene allacciato , e prudenza SEMPRE.
Per un'accurata verifica delle possibili infezioni, consigliamo l'ottimo, gratuito ed oramai collaudato. Malwarebytes anti malware.

[RNicoletto]

Quota:

Inviato da Billow

Di recente è stato colpito anche il sito di POSTE.it che ha subito un attacco con DDOS e relativo defacing della Homepage, anche se a detta dei responsabili, non sono stati toccati i profili degli utilizzatori di carte Postepay.

Mi permetto di aprire una piccola parentesi sul recente defacement del sito di Poste Italiane visto che visto che, come al solito, giornale e telegiornali hanno detto/scritto la solita sequela di banalità e ca##ate.

Innanzitutto, i fatti.

Sabato sera la homepage del sito di poste.it viene defacciata e viene presentato il seguente messaggio a tutti gli utenti:

Riporto per correttezza l'intero testo del messaggio:

"Le Poste Italiane sono state oscurate?! Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente. Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri account non sono stati toccati. Ma cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre? Con questo gesto quindi, invitiamo i responsabili a occuparsi della grave mancanza di sicurezza nei servizi online delle Poste S.p.a.

Firmato: Mr Hipo & Stutm"

Un utente, accortosi della cosa, avverte la Polizia Postale che si attiva immediatamente sia verso le Poste sia per le indagini di rito.

Dopo qualche ora la homepage originale veniva ripristinata mentre non è dato di sapere se la falla di sicurezza sfruttata dagli hacker sia stata sistemata.

Ora, veniamo alle considerazioni.

Affermazione 1 - Le Poste si sono subito sperticate in rassicurazioni: nessun dato rubato, nessun account dei clienti compromesso.
Considerazione 1 - Ma daaaii?? Non è che per caso gli hacker l'hanno scritto chiaramente nel loro messaggio che non avevano toccato nessun dato e nessun account? Non è che non l'abbiano fatto perché non potevano/non riuscivano grazie alla sicurezza intrinseca dei sistemi di Poste Italiane... non l'hanno fatto perché, in quanto azione dimostrativa, non era loro interesse farlo.

Affermazione 2 - L'attacco hacker stato immediatamente rilevato dal servizio di sicurezza di Poste che ha avvisato la polizia postale.
Considerazione 2 - Manco per niente! Sabato sera i responsabili del servizio di sicurezza di Poste erano impegnati a fare l'aperitivo in qualche locale-in di Roma o Milano. Ad un certo punto ad uno di loro è squillato il cellulare della reperibilità; al telefono c'era la Polizia Postale che li informava che erano stati contattati da un utente che li aveva informati di "qualcosa di strano" sul sito delle Poste. Solo a questo punto i nostri guru della sicurezza si sono precipitati in ufficio ed hanno messo subito off-line il sito e poi hanno tentato di capire cosa era successo ed infine hanno rimesso on-line la versione originale dalla homepage (probabilmente prendendola da qualche backup orario).

Ed infine la chicca, che per quanto ne so, ad oggi nessun media di informazione ha dato evidenza (consideratela un'esclusiva WinTricks ):

Poste Italiane era stata avvertita di tale falla di sicurezza già da inizio settembre!

Come riportato in alcuni commenti su blog italiani, Giorgio Fraiegari ha evidenziato il fatto che il disclosure della vulnerabilità era pubblico da tempo! :anger:

La triste verità è che per gli Enti Pubblici così come per le Banche la sicurezza è un costo.
Questi non faranno mai nulla per prevenire ma solo per curare a danno fatto. E la cura sarà solo temporanea: la sicurezza è un processo, non un prodotto e pertanto ha bisogno di un'attenzione costante e non di interventi spot tanto cari a chi comanda.

[Guerriero della luce]

E se tutto fosse fatto dall'interno, chissà forse gli stessi gestori del sito delle poste , ma perché mai? Sarebbe controproducente?

Solo per spaventare!!! il web è un territorio libero e in questo mondo c'è chi non vuole che noi siamo liberi.

Gli hacker sono come i terroristi, si tirano fuori solo e quando serve.

Non ho detto che mi dobbiate credere, sembra folle vero, ma almeno pensateci per un attimo, tanto pensare, male non fà , e poi guardate se l'hanno detto alla TV, allora credo di averci azzeccato.

Con questo non voglio denigrare l’articolo di WinTricks, anzi lo seguo da anni e per me è un appuntamento quotidiano di informazione preziosa.

Grazie

[Alhazred]

L'equazione "hacker = terrorista" la riconsidererei un attimo, si parla spesso a sproposito, uno che va in giro a far danni non è detto che sia un hacker, nella maggior parte dei casi non lo è.

Da Wikipedia:
"Un hacker (termine coniato negli Stati Uniti del quale è difficile rendere una corretta traduzione in italiano) è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse (che di solito comprendono l'informatica o l'ingegneria elettronica), ma in tutti gli aspetti della sua vita.

Esiste un luogo comune, usato soprattutto dai mass media (a partire dagli anni ottanta), per cui il termine hacker viene associato ai criminali informatici, la cui definizione corretta è, invece, "cracker".

[Gfraiegari]

Quota:

Inviato da RNicoletto

Mi permetto di aprire una piccola parentesi sul recente defacement del sito di Poste Italiane visto che visto che, come al solito, giornale e telegiornali hanno detto/scritto la solita sequela di banalità e ca##ate.

Innanzitutto, i fatti.

Sabato sera la homepage del sito di poste.it viene defacciata e viene presentato il seguente messaggio a tutti gli utenti:

Riporto per correttezza l'intero testo del messaggio:

"Le Poste Italiane sono state oscurate?! Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente. Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri account non sono stati toccati. Ma cosa succederebbe se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre? Con questo gesto quindi, invitiamo i responsabili a occuparsi della grave mancanza di sicurezza nei servizi online delle Poste S.p.a.

Firmato: Mr Hipo & Stutm"

Un utente, accortosi della cosa, avverte la Polizia Postale che si attiva immediatamente sia verso le Poste sia per le indagini di rito.

Dopo qualche ora la homepage originale veniva ripristinata mentre non è dato di sapere se la falla di sicurezza sfruttata dagli hacker sia stata sistemata.

Ora, veniamo alle considerazioni.

Affermazione 1 - Le Poste si sono subito sperticate in rassicurazioni: nessun dato rubato, nessun account dei clienti compromesso.
Considerazione 1 - Ma daaaii?? Non è che per caso gli hacker l'hanno scritto chiaramente nel loro messaggio che non avevano toccato nessun dato e nessun account? Non è che non l'abbiano fatto perché non potevano/non riuscivano grazie alla sicurezza intrinseca dei sistemi di Poste Italiane... non l'hanno fatto perché, in quanto azione dimostrativa, non era loro interesse farlo.

Affermazione 2 - L'attacco hacker stato immediatamente rilevato dal servizio di sicurezza di Poste che ha avvisato la polizia postale.
Considerazione 2 - Manco per niente! Sabato sera i responsabili del servizio di sicurezza di Poste erano impegnati a fare l'aperitivo in qualche locale-in di Roma o Milano. Ad un certo punto ad uno di loro è squillato il cellulare della reperibilità; al telefono c'era la Polizia Postale che li informava che erano stati contattati da un utente che li aveva informati di "qualcosa di strano" sul sito delle Poste. Solo a questo punto i nostri guru della sicurezza si sono precipitati in ufficio ed hanno messo subito off-line il sito e poi hanno tentato di capire cosa era successo ed infine hanno rimesso on-line la versione originale dalla homepage (probabilmente prendendola da qualche backup orario).

Ed infine la chicca, che per quanto ne so, ad oggi nessun media di informazione ha dato evidenza (consideratela un'esclusiva WinTricks ):

Poste Italiane era stata avvertita di tale falla di sicurezza già da inizio settembre!

Come riportato in alcuni commenti su blog italiani, Giorgio Fraiegari ha evidenziato il fatto che il disclosure della vulnerabilità era pubblico da tempo! :anger:

La triste verità è che per gli Enti Pubblici così come per le Banche la sicurezza è un costo.
Questi non faranno mai nulla per prevenire ma solo per curare a danno fatto. E la cura sarà solo temporanea: la sicurezza è un processo, non un prodotto e pertanto ha bisogno di un'attenzione costante e non di interventi spot tanto cari a chi comanda.

---------------------------------------------------------------

Dopo un attenta analisi confermo la mia opinione che la vulnerabilità espressa nel mese di settembre vedi link, che già ti avevo inviato e cioè:
http://unu1234567.baywords.com/2009/...tion/#comments
Se apri il primo screeshoot vedrai sull'indirizzo dove si va fare sql injection trove macchiato/cancellato salastampa.poste.it infatti se poi vai sul sito poste italiane e ti metti con la freccetta del mouse su sala stampa noterai intanto che iperlink è stato tolto, è qui dove è stato fatto al 100% sql injection.
Quindi cio che era scritto sul quel sito di dominio pubblico a riguardo della vulnerabilità è valido qualcuno a sfruttato proprio questo, tra l'altro se rivai sul link in questione i nuovi post confermano la mia tesi publicizzata da me sabato dopo l'attacco.

Giorgio Fraiegari

[RNicoletto]

Quota:

Inviato da Gfraiegari

Dopo un attenta analisi confermo la mia opinione che la vulnerabilità espressa nel mese di settembre...

Grazie per esser passato da WT a confermare.

Visto che ci sono ti chiedo: le Poste adesso hanno sistemato la falla oppure hanno solo fatto un ripristino della situazione pre-hack? Grazie.

Quota:

Inviato da Gfraiegari

...vedi link, che già ti avevo inviato...

Link che avevi inviato a chi??

[Gfraiegari]

Tutto cioò che ho scritto è stato ibloggato su numerosi siti tra cui:
http://www.anti-phishing.it
http://www.trackback.it/articolo/pos...sistema/14757/
, ed in via informale alle autorità competenti.

Riguardo all'altra domanda, ti posso dire che stanno facendo pulizia di numerosi siti asp al quanto vulnerabili, ma il lavoro da fare è al quanto lungo in quanto molti sono i siti linkati da lsito principale ad altri siti collegati del gruppo poste italiane.

La cosa piu eclatante e che confermo e certifico è il fatto che i siti defacciate non erano solamente uno ma bensi 2, anche poste.cert è stato defacciato ma non reso pubblico a noi tutti.
Di segutio la prova tangibile in allegato..

Ad maiora!

Giogrio Fraieagri

[Gfraiegari]

Tanto per rimanere in tema, segnalo ancora altri due siti interessati (Tiscali & Libero)
http://unu1234567.baywords.com/

[RNicoletto]

Quota:

Inviato da Gfraiegari

Tanto per rimanere in tema, segnalo ancora altri due siti interessati (Tiscali & Libero)
http://unu1234567.baywords.com/

L'ultima immagine del sito di Tiscali dove si legge:

Codice:

$admin_username="admin";

è spettacolare!

[Gfraiegari]

oggi!
http://unu1234567.baywords.com/

[Gfraiegari]

http://unu1234567.baywords.com

il sito è stato oscurato (si insabbiano tutto....)