Gaia Bottà

Hackare il sito CIA si può

Una vulnerabilità XSS mai sanata innesca la provocazione di Wired: il sito dell'agency sembra ora ospitare una news del celebre magazine online

Roma - Gli States temono le cyberminacce scagliate da nemici che vengono da lontano, rabbrividiscono al pensiero che bit ostili possano attentare al sistema economico e all'efficienza delle infrastrutture delle istituzioni. Prendono provvedimenti attaccando e difendendosi in rete e ingaggiando cyberguerrieri, ma lasciano esposto e incustodito il sito di CIA. Da tempo afflitto da una falla, Wired lo ha assaltato per gioco.

Sulle pagine del sito della agency USA compare ora un articolo del celebre magazine, un articolo nel quale si presenta la nuova strategia del Dipartimento della Homeland Security per consolidare le difese che proteggono i network governativi.

Si tratta di una provocazione, di un innocuo tentativo di scuotere le coscienze, di un ridanciano strizzare l'occhio ai netizen che non credono nelle invasive tattiche di azione online del governo e che temono per la propria riservatezza, mentre lo stato fa man bassa di dati personali assicurandoli dietro database online definiti impenetrabili.
Era irresistibile la tentazione che si è parata di fronte agli editor del blog di Wired Threat Level: la vulnerabilità di tipo cross-site scripting, segnalata da un lettore, affliggeva il sito di CIA da tempo. Pare che gli amministratori del sito dell'agency non se ne siano minimamente preoccupati: a fronte degli ondivaghi polveroni sollevati dalle istituzioni per richiamare l'attenzione sulla sicurezza, non è mai stata messa una pezza al problema, potenzialmente grave.

Così gli editor di Wired hanno sfruttato la vulnerabilità per proiettare la news sul sito di CIA, ma non sono gli unici ad aver approfittato della falla per inoculare del codice e sottolineare l'incoerenza fra lo sbandierato timore per la propria infrastruttura e per la sicurezza nazionale e l'incuria con cui le istituzioni USA lasciano spalancate le proprie finestre online.

Gaia Bottà
13 Commenti alla Notizia Hackare il sito CIA si può
Ordina
  • Ne ho le palle piene di chi parla senza cognizione di causa !!!!

    Violare un server Web , o meglio ancora, l'applicazione Web non è una cosa impossibile se i presupposti esistono !

    Nel caso in questione (CIA) si nota che non sono stati effettuati i dovuti filtraggi di keyword riservate a codice HTML ne tantomeno hanno installato un IPS a livello di server Web come potrebbe essere mod_security !

    Voglio farti notare che tra violare un Server Web comunque o meglio un sito, tramite i soliti attacchi (Sql injection, XSS, File enumerabili, CGI, Php include, ecc..) non significa entrare a far parte di informazioni riservate o chissà cosa, anzi ! E' il solito sito istituzionale che male che vada ci fanno solo una gran brutta figuraccia (e poi l'anno prossimo prendono il triplo di finanziamento per la sicurezza informatica).

    Se tu pensi che bucare la nasa, o la cia sia qualcosa di assurdo o fantasmagorico, TI ASSICURO che è ben più grave vedersi bucare le ANAGRAFI ITALIANE, le ASSICURAZIONI ITALIANE, e i server della polizia municipale di un paesino italiano dove c'è una bella torre.

    Queste sono notizie per i polli, per chi non è dentro all'argomento, nella realtà le cose sono ben diverse.
    non+autenticato
  • > Queste sono notizie per i polli, per chi non è
    > dentro all'argomento, nella realtà le cose sono
    > ben
    > diverse.
    Già, ma un bug del genere permette di diffondere notizie false, dandogli voce d'autorevolezza.
    Il danno che ne deriva è grave tanto quanto se avessero "bucato" la macchina.
  • - Scritto da: steve81
    > > Queste sono notizie per i polli, per chi non è
    > > dentro all'argomento, nella realtà le cose sono
    > > ben
    > > diverse.
    > Già, ma un bug del genere permette di diffondere
    > notizie false, dandogli voce
    > d'autorevolezza.
    > Il danno che ne deriva è grave tanto quanto se
    > avessero "bucato" la
    > macchina.

    Concordo pienamente. Il sito CIA è istituzionale, quello che sforna è (o per lo meno ha le fattezze di) oro colato.
    Qualsiasi informazione potrebbe generare consecuenze gravissime. Provate ad immaginare se uno inserisce un articolo del tipo: "Banca pinco pallino responsabile del 09/11". Vaglielo dire te a tutti i risparmiatori che leggono la notizia che non è vero e di non ritirare tutti i fondi dai conti immediatamente. Il polverone mediatico a quel punto si sposta e si ingrandisce, le smentite di un attacco hacker puzzano visto che in tutti gli altri campi la CIA è così sicura risulta difficile pensare che proprio il sitarello possa venire bucato. Morale, se più del 10% dei risparmiatori ritirano la società di credito va in bancarotta, perchè non ha la copertura monetaria per poter liquidarte i risparmiatori. E di li un po a catena, tutte le società che hanno mutui e finanziamenti con tale banca e giù col rolling stones!
    non+autenticato
  • - Scritto da: steve81
    > > Queste sono notizie per i polli, per chi non è
    > > dentro all'argomento, nella realtà le cose sono
    > > ben
    > > diverse.
    > Già, ma un bug del genere permette di diffondere
    > notizie false, dandogli voce
    > d'autorevolezza.
    > Il danno che ne deriva è grave tanto quanto se
    > avessero "bucato" la
    > macchina.

    Sono daccordo scusa non avevo ancora letto il tuo, l'ho scritto anch'io
    non+autenticato
  • Non hai capito che se metti una notizia sul sito CIA tutti ci crederanno e questo è pericoloso!
    non+autenticato
  • .. provate a fare hacking del sito CIA.. poi vedete che vi succede anche solo per averci provato...ehh!
    Dietro notizie di violazioni a sistemi militari e di servizi segreti di qualsiasi paese c'è sempre dietro qualcosa che non viene detto e comunque una presunta violazione così banale è uno specchietto per le allodole per nascondere qualche altro fatto che non può essere pubblicamente divulgato. Se violazione c'è stata è stata ben più complessa e ad opera di governi, dittature o gruppi terroristici ostili agli USA.
    non+autenticato
  • - Scritto da: chojin
    > .. provate a fare hacking del sito CIA.. poi
    > vedete che vi succede anche solo per averci
    > provato...ehh!
    > Dietro notizie di violazioni a sistemi militari e
    > di servizi segreti di qualsiasi paese c'è sempre
    > dietro qualcosa che non viene detto e comunque
    > una presunta violazione così banale è uno
    > specchietto per le allodole per nascondere
    > qualche altro fatto che non può essere
    > pubblicamente divulgato. Se violazione c'è stata
    > è stata ben più complessa e ad opera di governi,
    > dittature o gruppi terroristici ostili agli
    > USA.

    o frose, ed è al spiegazione più semplice e realistica.

    1) il sito web pubblico della CIA non viene ocnsiderao importante dalla CIA stessa perchè loro usano una ifnrastruttura totalmente slegata per l'IT interno (altamente probabile)

    2) il webmaster cui hanno affidato il lavoro o si è messo d'accordo con wired o semplicemente ha fatto una cazzata, qui in italia aruba è stato vittima di cose peggiori e loro fanno gli hoster....il tizio cui la CIA ha dato da fare l'homepage pubblica invece no.

    quindi si tratta probabilmente di una cazzata fatta da un tizio parcheggiato lì per chissà quale motivo.


    un rasoio di occam

    1) è vero che il sito è stato bucato per negligenza quindi: il webmaster ci dui sopra perde il posto.

    2) è falso che il sito è stato bucato per negligenza quindi:
    1984
    non+autenticato
  • Guarda che tantissimi hacker si divertono ad hackerare i siti giudicati "impenetrabili" proprio per testare le loro capacità, mica par forza a scopo di lucro!
    non+autenticato
  • ... anche se un sito come quello della CIA dovrebbe evitare una "pecca" di tale demenzialità.

    In pratica (ad occhio e croce) il loro sistema di ricerca permette l'iniezione di semplice HTML, quindi consente di fare una ricerca nel sito inserendo, al posto delle parole da cercare, del codice HTML, che viene ripetuto nella pagina che dovrebbe fornire i risultati della ricerca. Qualcosa del tipo:

    "hai cercato: bin laden -- nessun risultato trovato"

    Quindi se viene immesso del codice ad hoc (in questo caso quello che crea un IFRAME grande come la pagina stessa) il sito intero viene coperto dalla pagina a cui punta l'iframe. Si può fare lo stesso giochetto al volo con qualsiasi sito, ad esempio Google:

    [code]https://www.cia.gov/search?NS-search-page=results&...]

    Oppure il mio ridente blog, vedete... anche quello può comparire sulla CIA ^_^

    [code]https://www.cia.gov/search?NS-search-page=results&...]

    Per quest'ultimo ho usato anch'io TinyURL, così la CIA ci metterà almeno un paio di mesi di più prima di venire a suonarmi alla porta per arrestarmiCon la lingua fuori
    -----------------------------------------------------------
    Modificato dall' autore il 16 aprile 2008 01.26
    -----------------------------------------------------------
  • Quando provo ad accedere XSS warning(estensione di FF) mi avvisa di un possibile attacco! Rotola dal ridereRotola dal ridere
    non+autenticato
  • attacco nucleare o biologico?
    non+autenticato
  • preventivo! lol
    non+autenticato