Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di
ansa.it, sito della nota agenzia di stampa italiana.
Nel
suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza,
l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL,
si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che
certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e
persino inserirne di nuove.
"La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente".
Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e
riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana.
Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo
reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti".
"Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a
Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità".
Valotta fa sapere che, dietro sua segnalazione, i responsabili di
ansa.it hanno già provveduto a chiudere le debolezze riscontraate.