Roma – Buongiorno redazione, sono un vostro affezionato lettore ormai da tre anni, mi occupo di informatica, tra le mie principali specializzazioni esiste il mondo della sicurezza anche perché da “giovane dentro” sono tuttora affascinato nel trovare debolezze e limiti di ciò che ci sta attorno (lo facevo da piccolo con i giochi… ed ora da grande è diventato un lavoro).
Vi scrivo perchè ho notato in un solo numero due preoccupanti articoli legati alla sicurezza quello riguardo al sito della CGIL e quello riguardo al Test Americano .
Tra i lavori che svolgo con maggior interesse esistono quelli che vengono chiamati Pen-Test e quando mi capita di proporre ad una azienda presente su internet in modo importante (e-commerce, informazioni utenti, documenti riservati ecc.) un Test di questo tipo perdipiù offerto gratuitamente, 9 volte su 10 mi ritrovo delle “non risposte”. Tutto questo sarebbe normale se fossero chiesti centinaia di Euro a fronte di un test che potrebbe essere fatto in 1000 modi non seri, risulta semplice dire “effettuo il test” e poi alla fine riportare un papiro con scritto “tutto ok” e dover anche pagare qualche centinaio di Euro. Ma è mia abitudine proporlo gratuitamente e richiedere il pagamento solo a fronte di problemi di una certa gravità rilevati, cose come: possibilità di bloccare le macchine, informazioni riservate visibili, asportazione di sorgenti, ecc.ecc.. Il tutto ovviamente a fronte di una liberatoria per autorizzare lo stesso test.
Bene, detto questo è incredibile come non ci sia alcun senso del rischio che si corre, che le aziende si fidano ciecamente di sistemisti interni o di personale che li rassicuri sulla “corazza di ferro” che li difende, ci si fida senza prendere alcuna precauzione su ciò che viene detto… “tanto ho un firewall” , questo va bene se io ho la mia paginetta di presentazione, ma quando l’azienda VIVE grazie ad internet è pura follia!
Su qualche decina di test effettuati fino ad ora ho rilevato 9 volte su 10 problemi di sicurezza GRAVI , su siti di importanza nazionale dove MAI avrei pensato di trovare buchi del genere! Problemi sistemabili con poche ore di manutenzione e che richiederebbero semplicemente un po? di attenzioni.
Qualche esempio tra i più evidenti?
Codici Asp/Php che permettono di passare File come variabili ai quali è sufficiente passare lo stesso file asp per vedere il sorgente;
Variabili passate a cui non viene effettuato alcun parsing. Questo permette di lanciare comandi molto pericolosi su database;
Directory fuori dal web raggiungibili utilizzando bachi di IIS o di Apache e così ce ne sarebbero centinaia di migliaia solo sul web.
Senza citare i problemi su firewall, altre porte aperte ecc. ecc.
Sono sinceramente meravigliato del come mai fino ad ora non sia accaduto niente di grave! Fino ad adesso gli attacchi più noti si sono limitati al defacement e questo di certo a parte un po’ di immagine sporcata non porta a niente di grave, ma sempre più aziende fanno di internet il loro business primario; e come ci si difende dai furti? Chiudendo le porte a chiave: la stessa cosa dovrebbe essere fatta su internet.
Il mio è un semplice sfogo, forse perchè temo seriamente che presto o tardi qualcosa di grosso accada. E come al solito noi italiani aspettiamo sempre “il dopo” per dire “potevo pensarci prima”. A volte basterebbe un po’ di attenzione in più ed affidarsi a chi, per giunta gratuitamente, vi può rassicurare che “tutto è a posto”.
Buon lavoro
Ti potrebbe interessare
27 nov 2003