Attacco a Wind, parla l'azienda

Dopo il defacement segnalato da Punto Informatico i responsabili spiegano che nessun problema di sicurezza si è verificato e avvertono: chi lancia questi attacchi dev'essere punito

Roma - Wind ha contattato Punto informatico, desiderando spiegare che cosa è successo durante l'attacco subito due giorni fa. Ne è nata un'intervista a Paolo Huscher, Responsabile Sviluppo Servizi, Sistemi e Piattaforme di Wind. La sua versione dei fatti appare in parte diversa da quella riportata nel nostro articolo. In ogni caso, non è finita qui: il caso potrebbe avere uno strascico penale.

Punto Informatico: Partiamo da qui: che cosa è successo ai vostri siti?
PH: Chiariamo subito una cosa: solo Wind.it è stato colpito dal defacement; non Libero né Digiland, a differenza di quanto riportato nel vostro articolo. Tra l'altro, solo una macchina è stata colpita e ne avevamo altre in linea. Il 50 per cento degli utenti ha quindi visto Wind.it senza il defacement.

PI: Eppure il forum di Digiland risultava "in manutenzione"
PH: Sì, ma era una misura preventiva. Andiamo con ordine: l'attacco c'è stato sabato notte, alle 22.50. Ce ne siamo accorti dopo cinque minuti circa.
PI: Ma com'è stato possibile bucare le vostre difese?
PH: Il defacer ha sfruttato una vulnerabilità del Php Forum, attraverso la quale ha scaricato un pezzo di codice con cui ha preso possesso della macchina. Per questo motivo, nell'attesa della patch, abbiamo messo offline il forum di Digiland.

PI: Quali piattaforme usate, insieme con il Php? Apache?
PH: Sì, anche, ma preferisco non scendere nei dettagli.

PI: Va bene, ma perché la vulnerabilità non era già coperta da patch?
PH: I nostri fornitori non ce l'avevano data. Ora, ovviamente, l'abbiamo trovata e applicata.

PI: Tutta colpa dei fornitori, quindi?
PH: Non posso dire questo, né voglio dire chi siano.

PI: Comunque, questa distrazione che danni ha portato a Wind?
PH: Solo d'immagine. Il defacer non ha avuto il tempo di fare nulla di grave, sulla nostra macchina. Ce ne siamo accorti subito, infatti, e abbiamo monitorato la situazione: non gli avremmo permesso di fare danni. Ripeto: nessun dato è stato trafugato.

PI: Com'è stato possibile accorgersi subito del defacement, a quell'ora del sabato?
PH: Abbiamo presidi di tecnici sempre presenti, circa una dozzina in contemporanea. I nostri sistemi, inoltre, sono scattati subito: lanciano un allarme, appena si accorgono di attività anomale. In questo caso, si attivano altri tecnici di emergenza, oltre a quelli del presidio.

PI: Come funzionano questi allarmi?
PH: Posso dirti soltanto che usiamo, oltre ai normali sistemi di intrusion detection, alcuni fatti in casa, da noi, in base a quelle che la nostra esperienza ci ha insegnato a riconoscere come attività anormali.

PI: Gli allarmi però servono a curare, non a prevenire. Che cosa farete per evitare che accada di nuovo?
PH: Non abbiamo già un piano di azione. Però cercheremo di essere più attenti alle patch disponibili. Avremmo potuto accorgerci della vulnerabilità presenti e quindi chiudere il forum o cercare la patch con maggiore insistenza. Considera che i nostri siti ricevono migliaia di attacchi al giorno. Sono molto ambiti tra i pirati e non è facile chiudere tutti gli spifferi...

PI: E adesso, che cosa farete contro il defacer? Dimenticherete l'accaduto?
PH: Niente affatto: partirà un'azione legale. Forse è stata solo una bravata, forse no; certo è che non è stata un'azione corretta nei nostri confronti. Perseguiremo quindi il defacer, poiché abbiamo tutti gli elementi per rintracciarlo. Sappiamo che è italiano. Non posso dirti altro, per ora.

Intervista a cura di Alessandro Longo
69 Commenti alla Notizia Attacco a Wind, parla l'azienda
Ordina
  • PI: Va bene, ma perché la vulnerabilità non era già coperta da patch?
    PH: I nostri fornitori non ce l'avevano data. Ora, ovviamente, l'abbiamo trovata e applicata.


    Che significa: "I fornitori non ce l'avevano data".

    Sbaglio o stiamo parlando di phpBB, scaricabile
    dal sito omonimo?
    Chiunque puo' entrare in possesso in pochi minuti
    degli script di questo forum ed installarli sul proprio server web e wind deve attendere i fornitori !

    Questa non l'ho capita, qualcuno me la spiega?

    Saluti.
    non+autenticato
  • Cerco di spiegartela io.

    In una dinamica aziendale in cui si effettua outsourcing di attività si delega al fornitore la manutenzione di un applicativo per evitare di doversi sobbarcare l'onere di monitorare le vulnerabilità degli applicativi (open o closed che siano).

    Si parte dal presupposto che l'outsourcer faccia il suo lavoro; di solito l'outsourcer non ama che il cliente si sistemi da solo le cose, hai presente le sovrapposizoni che si vengono a creare?

    Al massimo Wind avrebbe potuto segnalare al fornitore le vulnerabilità ...ma siamo partiti dal presupposto che wind delega anche questo al fornitore.

    Tra l'altro non si è capito quale fornitore, se quello che gli gestisce il PHPBB o quello che gli gestisce la Red Hat visto che la vulnerabilità dipende da un baco del php 4.3.9 di cui è già disponibile un upgrade alla 4.3.10

    Saluti
    Cla"
    cla
    397

  • - Scritto da: cla
    > Cerco di spiegartela io.
    >


    ti ringrazio dei chiarimenti sul concetto di outsourcing,

    ma non capisco che cosa ci stanno a fare tutti
    questi tecnici,di cui l'intervistato parla, se un soggetto
    esterno deve dirgli che hanno il forum bacato?




    Ciao.


    non+autenticato
  • penso che siano addetti a monitorare le attività in corso sui server...e non ad amministrare
    non+autenticato

  • - Scritto da: Anonimo
    > Che significa: "I fornitori non ce
    > l'avevano data".

    Significa che i fornitori non la danno, eppure è strano perchè il cliente paga per avere servizi più strani e ricercati.
    In questa vita bisogna sempre darla e chi non la da sarà punito.
    Invece : chi la da, lo aspettiA bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • volevo inanzitutto incominciare questa mia arafrasi della gestione dei autsozi dal punto di vista del sorz.

    a questo punto il lettore si troverà palesemente spiazzato in quanto non conoscendo il significato sematico "sorz" la frase sembra perdere di significato.

    Continuo portando alla vostra attenzione un aneddoto dell'ultima riunione fatta appunto dalla ns azienda per risolvere questo lurido problema, Diciamo che questa tempesta di cervelli o come dicono in usa "head storm" non portva a niente... fino a che ad un certo punto , il responsbile area illumina le nostre mendi spazzando via ogni dubbio: aealora gente .... " femane cani e bacaeà bati ben fin che vien boni".

    queste parole che a molti a pesarle nel tessuto socio pulixentulo non significano niente a me ed ai miei colleghi ha aperto le porti ad una dimensione per cosi diere ......dire .

    ringrazio tutti per la cortese attenzione
    non+autenticato

  • - Scritto da: Anonimo
    > volevo inanzitutto incominciare questa mia
    > arafrasi della gestione dei autsozi dal
    > punto di vista del sorz.
    >
    > a questo punto il lettore si troverà
    > palesemente spiazzato in quanto non
    > conoscendo il significato sematico "sorz" la
    > frase sembra perdere di significato.
    >
    > Continuo portando alla vostra attenzione un
    > aneddoto dell'ultima riunione fatta appunto
    > dalla ns azienda per risolvere questo
    > lurido problema, Diciamo che questa tempesta
    > di cervelli o come dicono in usa "head
    > storm" non portva a niente... fino a che ad
    > un certo punto , il responsbile area
    > illumina le nostre mendi spazzando via ogni
    > dubbio: aealora gente .... " femane cani e
    > bacaeà bati ben fin che vien boni".
    >
    > queste parole che a molti a pesarle nel
    > tessuto socio pulixentulo non significano
    > niente a me ed ai miei colleghi ha aperto le
    > porti ad una dimensione per cosi diere
    > ......dire .
    >
    > ringrazio tutti per la cortese attenzione


    Eh sì è, figa se sì!
    non+autenticato
  • - Scritto da: Anonimo
    > volevo inanzitutto incominciare questa mia
    > arafrasi della gestione dei autsozi dal
    > punto di vista del sorz.
    >
    > a questo punto il lettore si troverà
    > palesemente spiazzato in quanto non
    > conoscendo il significato sematico "sorz" la
    > frase sembra perdere di significato.
    >
    > Continuo portando alla vostra attenzione un
    > aneddoto dell'ultima riunione fatta appunto
    > dalla ns azienda per risolvere questo
    > lurido problema, Diciamo che questa tempesta
    > di cervelli o come dicono in usa "head
    > storm" non portva a niente... fino a che ad
    > un certo punto , il responsbile area
    > illumina le nostre mendi spazzando via ogni
    > dubbio: aealora gente .... " femane cani e
    > bacaeà bati ben fin che vien boni".
    Mi no gho capio 'na beata fava su queo che te ghe dito. Te me sembri uno che el gha sbaja a scrivare...
  • Semplicemente le dinamiche aziendali servono solamente a pagare gente che sta li per controllare server "fatti in casa"....
    per il resto questo paolo husher non ha la che minima esperienza in campo security IT quindi le risposte o sono state dettate o non i capisce nulla e le buttava come venivano... questo ci meritiamo che vi devo dire..

    bismark
    admin
    non+autenticato

  • - Scritto da: Anonimo
    > PI: Va bene, ma perché la
    > vulnerabilità non era già
    > coperta da patch?
    > PH: I nostri fornitori non ce l'avevano
    > data. Ora, ovviamente, l'abbiamo trovata e
    > applicata.
    >
    >
    > Che significa: "I fornitori non ce
    > l'avevano data".

    :D:D:D:D:D:D:D:D:D:D:D:D:D:D:D
    non+autenticato
  • è stato da poche ore defacciato il sito dei radicali italiani ( http://www.radicali.it/ )
    non+autenticato
  • Dallo stesso tizio anche altri siti, probabilmente usa un tool automatico.
    (http://www.mpegable.com/)
    non+autenticato
  • Bisogna ammetterlo, Wind risponde sempre o quasi
  • aspettavano le patch
    ma che razza di risposta è mai questa !!!!
    se io sono admin wind la prima cosa che faccio
    è tenere un feed con le varie mailing list di security
    e apporterei le patch appena pronte
    questi che facevano durante il giorno ?
    monitoravano il loro checkpoint e rimanevano estasiati
    quando si accendeva la lucetta rossa ?
    non+autenticato
  • - Scritto da: Anonimo
    > aspettavano le patch
    > ma che razza di risposta è mai questa
    > !!!!
    > se io sono admin wind la prima cosa che
    > faccio
    > è tenere un feed con le varie mailing
    > list di security
    > e apporterei le patch appena pronte
    > questi che facevano durante il giorno ?
    > monitoravano il loro checkpoint e rimanevano
    > estasiati
    > quando si accendeva la lucetta rossa ?

    Bhe magari gli admin di Wind sono forniti dalla body rental di turno (magari un ex-salumeria) che oltre a pagare in ritardo paga anche poco e quindi l'admin se ne strafrega di applicare le patch.
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > aspettavano le patch
    > > ma che razza di risposta è mai
    > questa
    > > !!!!
    > > se io sono admin wind la prima cosa che
    > > faccio
    > > è tenere un feed con le varie
    > mailing
    > > list di security
    > > e apporterei le patch appena pronte
    > > questi che facevano durante il giorno ?
    > > monitoravano il loro checkpoint e
    > rimanevano
    > > estasiati
    > > quando si accendeva la lucetta rossa ?
    >
    > Bhe magari gli admin di Wind sono forniti
    > dalla body rental di turno (magari un
    > ex-salumeria) che oltre a pagare in ritardo
    > paga anche poco e quindi l'admin se ne
    > strafrega di applicare le patch.


    be potrebbe essere una possibilità, ma invece penso che sia capitato questo possibilità:

    1)
    linux e un sistema sicuro, il nostro firewall blocca tutte le porte tranne la 80 quindi cosa puo capitare.

    2)
    ti prendi tu la responsabilità di applicare le patch, no io no, tu no e tu no ecc..... per mesi, gli admin che sono li fanno solo il monitoraggio, e difficile che possano mettere mano al sistemà, e probabilmente non ne sono in grado.
    non+autenticato
  • > 1)
    > linux e un sistema sicuro, il nostro
    > firewall blocca tutte le porte tranne la 80
    > quindi cosa puo capitare.
    Questo, casomai, é quello ch pensano i troll che bazzicano su punto informatico, gli admin con un pò di senno sanno che la sicurezza non é una cosa trascendentale ma passa attraverso le patch e l'upgrade...

    Poi si stà parlando di PHP, tra l'altro...
    non+autenticato

  • - Scritto da: Anonimo
    > > 1)
    > > linux e un sistema sicuro, il nostro
    > > firewall blocca tutte le porte tranne
    > la 80
    > > quindi cosa puo capitare.
    > Questo, casomai, é quello ch pensano
    > i troll che bazzicano su punto informatico,
    > gli admin con un pò di senno sanno
    > che la sicurezza non é una cosa
    > trascendentale ma passa attraverso le patch
    > e l'upgrade...
    >

    mi scusi signor turing secondo te il tizio come ha bucato il server, quale porta ha utilizzato, pensi che wind sui suoi server web non blindi tutto tranne l'80, e attraverso questa che l'hacker ha operato per intaccare il sistema.


    > Poi si stà parlando di PHP, tra
    > l'altro...

    appunto secondo te con che mezzo e riuscito a sfruttare la vulnerabilita del forum in php per ottenere il suo scopo se non passando dalla porta 80 ecc......

    su sto forum di gente che non sa niente ne bazzica tanta, e tra l'altro e anche arrogante.

    bye
    non+autenticato

  • - Scritto da: Anonimo
    > mi scusi signor turing secondo te il tizio
    > come ha bucato il server, quale porta ha
    > utilizzato, pensi che wind sui suoi server
    > web non blindi tutto tranne l'80, e
    > attraverso questa che l'hacker ha operato
    > per intaccare il sistema.

    ha fatto cosi
    ./sbuciaphpbb.pl www.wind.it /forum/ 34 "cat config.php" (dal config.php ricavi username e password che il 99% delle volte equivale a dati di un account shell )

    ssh -l username@www.wind.it password
    scp brk-exploit username@wind.it:/home/user/.haxor
    scp adore-rootkit.tar.gz username@wind.it:/home/user/.haxor

    ./brk-exploit
    root
    piazza la backdoor lkm

    inzomma questo genere di attacchi sono i piu banali
    con un training su uml riesci a tirare giu un server
    bucabile in 4 minuti e cancelli pure le tracce
    non è che servono tecniche cosi occulte...


    non+autenticato
  • > ha fatto cosi
    > ./sbuciaphpbb.pl www.wind.it /forum/ 34 "cat
    > config.php" (dal config.php ricavi username
    > e password che il 99% delle volte equivale a
    > dati di un account shell )
    OK
    > ssh -l username@www.wind.it password
    > scp brk-exploit
    > username@wind.it:/home/user/.haxor
    > scp adore-rootkit.tar.gz
    > username@wind.it:/home/user/.haxor

    Sull'articolo dice che solo la porta 80 non era filtrata dal fw quindi non puo' aver fatto cosi'
  • quando si parla di poche conoscenze ed arroganza...
    - Scritto da: doppiaemme
    > > ha fatto cosi
    > > ./sbuciaphpbb.pl www.wind.it /forum/ 34
    > "cat
    > > config.php" (dal config.php ricavi
    > username
    > > e password che il 99% delle volte
    > equivale a
    > > dati di un account shell )
    conosco gente che utilizza quei 2-3 programmini da script-kiddie senza neanche capirne il codice... è triste... per quanto riguarda la password che corrisponde a quella di un account... a casa mia, sì...
    > OK
    sì, mi va ancora giù
    > > ssh -l username@www.wind.it password
    > Sull'articolo dice che solo la porta 80 non
    > era filtrata dal fw quindi non puo' aver
    > fatto cosi'
    perfettamente ragione... non voglio fare l'arrogante pure io, ma bisognerebbe almeno leggere bene l'articolo prima di dire che non ci vuole un granché... non che una reverse shell sia una gran cosa, ma non conosco tanti script-kiddies, per fortuna, che lo sanno fare... soprattutto se il firewall, hardware o software, impediscono connessioni all'esterno, o ancora meglio l'utente che viene restituito da apache permette l'esecuzione di solo pochi specifici programmi presenti sul sistema...

    in conlusione non ho detto niente... ma c'è gente che la bocca farebbe meglio a tenerla chiusa, più di me
  • - Scritto da: tillo
    > perfettamente ragione... non voglio fare
    > l'arrogante pure io, ma bisognerebbe almeno
    > leggere bene l'articolo prima di dire che
    > non ci vuole un granché...

    Non è che ci vuole la scienza infusa per fare una
    piccola shell su tunnel
    http://icmpshell.sourceforge.net/
    questa puo essere un'idea per esempio.....

    PING www.wind.it (195.210.91.57) 56(84) bytes of data.
    64 bytes from ambiente-int.iol.it (195.210.91.57): icmp_seq=1 ttl=118 time=65.9 ms

    è stato sufficente far passare il pacchetto in raw mode
    tramite la porta 80,attivare il tunnellazzo ed entrare
    comodamente in consolle tramite un banale ping.
    poi vabbe è ovvio che i checkpoint della wind loggano
    :)
    non+autenticato
  • - Scritto da: Anonimo
    > Mi pare il minimo.

    Si, a parte il concorso di colpa degli admin, un danno lo ha fatto e la cosa non è etica, poteva limitarsi a lasciare un salutino che potessero vedere solo gli admin.

    ==================================
    Modificato dall'autore il 21/12/2004 2.30.59

  • - Scritto da: CalicoJack

    > Si, a parte il concorso di colpa degli
    > admin,

    Eh? Ma perché non applicate gli stessi ragionamenti anche nella vita reale (si, parlo al plurale perché in questi forum vi sono diverse persone che la pensano come te)?
    Furto in banca? Concorso di colpa dei bancari, che non usano sistemi alla fort knox
    Ti entrano nell'auto e ti sfasciano tutto ciò che c'è dentro? Fesso tu, che non hai usato l'antifurto di ultima generazione collegato direttamente alla polizia e che non hai installato dei vetri antisfondamento sulla macchina
    Entrano nel tuo ufficio e danno fuoco a tutti i tuoi documenti? Sei proprio un pirla

    Ma finiamola una buona volta con questa logica! Certo, in molti casi gli amministratori potevano fare di più, ma nessuno si deve sentire autorizzato ad entrare nei sistemi di altri e far danni, e se lo fa la colpa del danno è sua

    >un danno lo ha fatto e la cosa non
    > è etica, poteva limitarsi a lasciare
    > un salutino che potessero vedere solo gli
    > admin.

    Su questo sono d'accordo. Se un esperto vede una falla, la segnala e fine. Come se io vedessi che l'allarme di una banca non è in funzione, da persona civile lo segnalo alla banca. Non è che prendo, entro, sfascio tutto e poi gli lascio un biglietto con scritto "Siete degli idioti"
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)