Matteo Flora

(in)sicurezza/ La politica dell'ignoranza

di Matteo Flora - La lunga serie di vulnerabilitÓ emerse sui siti dei movimenti politici Ŕ emblematica della mancata conoscenza di elementi minimi di sicurezza. Ma Ŕ giusto pretenderli, quando sono in gioco dati e denari pubblici

Roma - Nelle scorse settimane abbiamo assistito ad un vero e proprio tripudio di segnalazioni di vulnerabilità sui siti web facenti capo a siti di vari ed eventuali partiti politici. Lo stesso Punto Informatico ha dedicato alle problematiche anche l'articolo "Elezioni, siti web a rischio?". A dare apertura alle danze è stata la segnalazione di Roberto Scaccia che descrive come il sito web del Partito Democratico sia vulnerabile ad un attacco condotto mediante una inclusione di file piuttosto "sbadata", che espone come scaricabile un file normalmente privato, il "web.config" che nelle applicazioni sotto piattaforma ASP.NET contiene le credenziali di accesso e le configurazioni dell'applicativo. Non che si trattasse di un episodio isolato, poiché decine di altri siti sfruttavano il CMS (gestore di contenuti) usato per la pubblicazione di contenuti.

In realtà, a ben vedere, strali di segnalazione erano stato mandati anche da Alessio Marziali che segnalava oltre alle problematiche di "web.config" anche una serie di XSS di varia gravità. E, come detto in precedenza, le stesse problematiche sono ancora una volta presenti in una serie di siti web quali, tra gli altri, lanouvastagione.it, romanoprodi.it, incontriamoci.fabbricadelprogramma.it, ulivo.it, governareper.it, lafabbricadelprogramma.it, rosybindi.it, paologentiloni.it, ulivisti.it, margheritaonline.it, margheritaperlunione.it... Che dire? Come se l'intera sinistra italiana propendesse come una moda per le vulnerabilità sui propri applicativi web.

A rimettere in prospettiva bipartisan la questione mi ci sono messo pure io con vulnerabilità non solamente di XSS ma anche di SQL Injection sul sito radicali.it, su popolariudeur.it e su misconrauti.it, seguito a ruota dopo qualche giorno dalle segnalazioni sulle problematiche del blog i Piero Fassino.
Non c'è che dire, una vera moria... Oppure, come recita il sempre incredibile XKCD un vero acquario di vulnerabilità.

E allora perché questo titolo: "la politica dell'ignoranza"? Perché a conti fatti si tratta della pura e semplice verità. Ciascuno degli esperti (e non mi annovero tra questi) che hanno segnalato le problematiche non stanno utilizzando tecniche di élite e stratagemmi incredibili per scovare problemi, ma stanno semplicemente notando come a chi abbia realizzato i vari siti web sembrino mancare le basi di una corretta programmazione, a partire dal secure coding passando per l'input sanitization. Accorgimenti che dovrebbero costituire una normale prassi lavorativa, assodata e consolidata.

Giova quindi ricordare che esistono ormai decine di volumi, esistono guide disponibili online gratuitamente (e da ultimo dei reviewer ufficiali della OWASP Testing Guide posso garantirne la completezza), esistono
metodologie di testing gratuite e complete, esistono precedenti, esistono best practices per ogni linguaggio: all'alba del 21esimo secolo non è digeribile infilare una stringa "' and 1=1" in un campo che si aspetta un semplice numero. Soprattutto se quell'errore poi finisce reiterato su decine di realtà web diverse.

Questi episodi ricordano come l'Italia, sotto questo versante, abbia ancora molto da imparare. Credo che sia assolutamente necessario iniziare a chiedere la qualità. Tutti coloro che devono selezionare fornitori di applicativi e realizzazioni, magari per la gestione di dati personali, dovrebbero sempre tenere presente alcuni punti chiave:

- Che l'applicazione sia conforme alle regole di Input Validation
- Che l'applicazione segua i Principi di Secure Coding
- Che l'applicazione passi un test secondo quanto prescritto dalla OWASP Testing Guide

Nulla di troppo complesso, soprattutto se in ballo c'è la privacy, i dati dei cittadini. Tutto questo dovrebbe costituire il minimo comune denominatore di qualunque azione intrapresa su web e che debba essere finanziata dai cittadini. E questo, si badi bene, vale anche per i siti dei partiti politici: quelle sono spese elettorali, spese che pagano i contribuenti.

Matteo Flora
LastKnight.com

I precedenti interventi di M.F. sono disponibili a questo indirizzo
18 Commenti alla Notizia (in)sicurezza/ La politica dell'ignoranza
Ordina
  • prima di coniare nuovi termini come "celodurismo", impari il significato di "coerenza"..

    lei parla di vulnerabilità,exploit,sicurezza dei siti,sql injection, altre amenità varie lette in giro per la rete, dice che ha allertato più di 70 siti e organizzazioni in merito alle loro vulnerabilità...poi si fai "bucare" il sito personale ?

    ci vorrebbe Greggio che dice:
    "Ma sig. Flora....Sig. FLora..."
    non+autenticato
  • Tante persone hanno cose ben differenti da fare nella propria vita zed. Le security patch di wordpress escono così velocemente che può capitare a tutti di non aggiornare il proprio blog per qualche giorno.

    Perchè invece di fare questi messaggi privi di alcun senso, non si cerca di argomentare una problematica decisamente interessante?

    Saluti.
    non+autenticato
  • vede caro sig. Marziali, se il tempo lo si impiega a girare "Casa Vianello 2", sorseggiando vino bianco, forse vuol dire che non si è molto impegnati nella vita, o non si ha di meglio da fare...

    Il concetto che forse lei non ha afferrato è il seguente:

    Come posso rendermi credibile e autorevole se nemmeno io riesco a rendermi sicuro ? Come può un'azienda di 10.000 dipendenti dare in mano ad una persona così la sua infrastruttura di sicurezza?

    Purtroppo è la sua risposta che denota estrema mancanza di professionalità rimpiazzata ormai dal dilagante trend della "Filosofia della Sicurezza Informatica" che trascura gli apspetti tecnici e le proposte di nuove idee.

    Saluti
    non+autenticato
  • ..uhm.. è da un po che non prendo in mano ASP.NET e parenti, ma se non ricordo male le credenziali incluse si possono criptare per l'ambiente di produzione proprio per ridurre i rischi di questo tipo di problema. Sempre se non ricordo male è fra i consigli della MS, che proprio proprio sprovveduti non sono.

    Che sia il sito del PD o di chiunque altro non è importante, è una svista di chi ha fatto l'installazione.
    non+autenticato
  • Dico...per realizzare siti si RICHIEDONO milioni di euro...e poi non solo il realizzato e' penoso sotto quasi tutti i punti di vista ma non si puo' nemmeno farsene rendere conto...SMENI E TACI.
    In questa ottica chiunque fa siti, anche il figlio di 13 anni, l'amico dell'amico dell'amico che lavora come panettiere ma la sera fa siti web per pochi intimi.
    Perche' i siti COSTANO e i soldi devono pur essere intascati da qualcuno...quindi la realizzazione deve essere di basso profilo, costare poco per potersi intascare quanto piu' possibile.
    OTTIMIZZAZIONE DELLA PECUNIA,la chiamano tra di loro...
    NOI smeniamo...LORO ottimizzano nelle loro tasche.
    Se si applicassero in politica sui nostri problemi come si applicano a risolvere la farcitura giornaliera dei loro portafogli...saremmo un paese primo su tutti gli altri!
    Se solo PAGASSERO per le loro scelte che definire "discutibili" e' poco...
    non+autenticato
  • - Scritto da: Ricky
    ...
    > Se solo PAGASSERO per le loro scelte che definire
    > "discutibili" e' poco...

    ...l'ultima frase vale ORO... un grosso problema di politica (e giustizia) è che sono relativamente intoccabili anche se hanno fatto delle "vaccate" grosse come una casa. Tutti sbagliano, va bene. Ma che ciò succeda e abbia di rado conseguenze sui responsabili... a volte neanche un buffetto.
    In questo esistono tante persone che il loro lavoro lo fanno, al meglio delle possibilità. Ma come al solito bastano alcune mele bacate per dare un'immagine cattiva alla categoria.
    non+autenticato
  • Ma state zitti! Altrimenti... creano l'ennesima commissione per "studiare" il problema, che non verrà più sciolta e contribuirà solo a utilizzare denaro pubblico.
    SSSSSSSShhhhhhhhhhhh!!!!! Triste
    non+autenticato
  • Commissione formata, sicuramente, da altrettanto incapaci periti del settore...
    H5N1
    1641
  • i cms moderni sono sempre piu' complessi, e specie quelli OSS sono frutto di un lavoro volontario fatto da piu' persone che si alternano e che non hanno alcun introito in cambio.

    tutti i cms OSS piu' in voga hanno subito una lunga serie di vulnerabilita' XSS/RFI/SQL e non solo.

    se sei tanto bravo scrivi un tuo cms e dimostra nei fatti quello che dici a parole.

    tra l'altro l'hacking di un sitarello promozionale del Mortadella o dei suoi compagni di merende non mi sembra un problema mission-critical, il sysadmin ci mette 5 minuti a fare un restore dei dati...

    (tra l'altro potrebbe esserci un XSS anche su questo stesso sito... io non aggiungo altro ma...)

    infine, il tuo articoletto in qualche modo incita all'illegalita', quindi, pollice verso.
    non+autenticato
  • Carissimo Direttore ti vedo bilioso e, soprattutto, disinformato.

    Studiati un poco la ratifica italiana del Protocollo di Budapest che la camera ed il senato hanno approvato la scorsa settimana e scoprirai che in italia il testing è stato, da 10 giorni a questa parte, completamente depenalizzato. Quindi Flora, corretto come sempre, non incita alla illegalità.

    In secondo luogo forse non hai capito che il problema NON E' che il sysadmin RITIRI SU il sito, ma che i dati in questo presente vengano sottratti per varie intenzioni.

    Poi se non ci arrivi ti faccio un disegnino...
    non+autenticato
  • - Scritto da: Fede
    > Carissimo Direttore ti vedo bilioso e,
    > soprattutto,
    > disinformato.
    >
    > Studiati un poco la ratifica italiana del
    > Protocollo di Budapest che la camera ed il senato
    > hanno approvato la scorsa settimana e scoprirai
    > che in italia il testing è stato, da 10 giorni a
    > questa parte, completamente depenalizzato. Quindi
    > Flora, corretto come sempre, non incita alla
    > illegalità.
    >
    > In secondo luogo forse non hai capito che il
    > problema NON E' che il sysadmin RITIRI SU il
    > sito, ma che i dati in questo presente vengano
    > sottratti per varie
    > intenzioni.
    >
    > Poi se non ci arrivi ti faccio un disegnino...

    Premesso che:
    1   la ratifica me la sono letta
    2   se fosse per me farei testing a tappeto su tutto

    Le modifiche fatte al Codice Penale per la ratifica della convenzione non autorizzano ne depenalizzano un bel niente.

    Lo spirito della modifica al nostro Codice Penale è quello di permettere il lavoro di chi ci mangia con la sicurezza.

    Infatti, viste le frettolose formulazioni di cui sono capaci i nostri politici, per "aggravare" e rendere "paurosa" una legge spesso vengono utilizzate le locuzioni " Chiunque", "a qualsiasi titolo...", "per procurare profitto..." ecc.

    Se tu, security expert super professionista vieni pagato ad esempio per fare analisi di virus, seguendo la lettera della legge commettevi in ogni caso il reato, poiché ricavi profitto dalle tua azioni in contrasto con la legge.

    Per evitare questa simpatica situazione è stata fatta una nuova ed intelligente formulazione dell'articolo 615-quinquies, che pure recependo la convenzione, in ogni caso tutela chi per motivi di lavoro "si procura, produce, riproduce importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici" sicuramente malevoli (virus, exploit, ecc.).

    Un esempio chiarificatore per chi non mastica di legalese:

    La detenzione di strumenti atti allo scasso è ovviamente vietata, ma se ti trovano con un cacciavite in auto non ti arrestano se gli dai una giustificazione plausibile del tipo "sono un fabbro"...

    Per chi volesse approfondire, visto che io non so disegnare, cito lo stesso articolo di Punto Informatico che parla della ratifica

    http://punto-informatico.it/p.aspx?i=2197407

    Saluti
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)