Alfonso Maruccia

USA, sistemi elettorali sotto attacco

I sistemi di voto informatico di due stati americani sono presi di mira da ignoti hacker, presumibilmente al soldo di governi stranieri. L'FBI lancia l'allarme e consiglia controlli accurati: le "cabine digitali" devono star lontane da Internet

Roma - Un avviso dell'FBI torna sul rischio sicurezza del voto elettronico, e questa volta il problema è parecchio concreto visto che si parla di attacchi "attivi" condotti contro due commissioni elettorali di altrettanti stati USA. Un fatto che consiglia prudenza per il prossimo futuro.

I sistemi elettorali attaccati sono quelli dell'Illinois e dell'Arizona, nel primo caso gli ignoti cyber-criminali hanno sfruttato una vulnerabilità di SQL injection e altre falle presenti sui server arrivando a compromettere potenzialmente i dati di 200.000 diversi cittadini registratisi per esprimere il proprio voto; nel secondo caso non risultano segni di compromissione, anche se i criminali sono riusciti a installare malware in loco.

In connessione all'attacco ora svelato dall'FBI, lo scorso luglio la commissione elettorale dell'Illinois fu costretta a spegnere i propri sistemi per due settimane per analizzare la situazione e ripulirli da eventuali infezioni presenti. Le indagini statali e federali (condotte tra l'altro con l'ausilio di Acunetix, società specializzata nell'analisi di vulnerabilità nei database relazionali) hanno portato all'individuazione delle falle di cui sopra, identificando diversi indirizzi IP riconducibili a server presenti negli USA, nel Regno Unito e nei Paesi Bassi.
I criminali hanno sfruttato servizi di hosting privato e virtuale nei suddetti paesi per innescare i loro attacchi, un modus operandi non particolarmente sofisticato che evidenzia soprattutto lo scarso livello di protezione delle vittime: "osare" di più non era insomma necessario.

Resta da stabilire la mano che ha sguinzagliato il codice malevolo contro le commissioni elettorali statali americane, con i federali che evocano ancora una volta la mano straniera - e in particolare russa - impegnata nel tentativo di destabilizzare le istituzioni democratiche di Washington. E in futuro potrebbe andare peggio, avvertono le autorità, quindi è opportuno che i responsabili locali e nazionali si curino della sicurezza dei loro sistemi e li disconnettano da Internet.

Alfonso Maruccia
Notizie collegate
  • SicurezzaElezioni USA, dati personali in libertàRecord relativi a 191 milioni di cittadini statunitensi, in un database che sembra rappresentare tutto l'elettorato. Era pubblicamente accessibile, senza bisogno di autenticazione
  • AttualitàClinton: gli hacker ci hanno preso di miraLa campagna presidenziale di Hillary Clinton coinvolta nell'attacco contro il comitato democratico, un'azione ora al vaglio di FBI e società di consulenza esterne per valutare l'estensione della breccia e gli eventuali danni
10 Commenti alla Notizia USA, sistemi elettorali sotto attacco
Ordina
  • Ma FBI & Co. a tre lettere non erano quelli che avevano il mondo sotto controllo ?
    non+autenticato
  • sono anche quelli che ultimamente fanno il lavoro sporco per conto della Klingon
    non+autenticato
  • - Scritto da: prova123
    > Ma FBI & Co. a tre lettere non erano quelli che
    > avevano il mondo sotto controllo
    > ?

    certo, infatti i tizi che gli hanno fregato metà dei loro strumenti di hacking e li hanno messi all'asta sono i padroni dell'universo
    non+autenticato
  • Cioe', esistono ancora in giro processi di acquisizione dati che'); UPDATE TABLE ELECTIONS SET VOTE = 'Trump'; COMMIT; --
  • Qualche anno fa lavoravo come dipendente in una P.A. locale, subimmo un attacco sqlinjection (!) avvenuto tramite un noto CMS (!)
    Da allora revisionammo tutto il nostro codice inserendo del ciclo di sviluppo strumenti per l'analisi del codice.
    Il problema era (e forse lo è ancora) il codice realizzato dalle ditte esterneAnnoiato
    Quindi in sintesi panda rossa, esiste ancora codice che "spara" nel db i parametri della query string (o analogo) senza alcun pre processamento.

    Chi controlla il codice sorgente dei prodotti acquisiti o presi "as a service"?
    Flavio
    - Scritto da: panda rossa
    > Cioe', esistono ancora in giro processi di
    > acquisizione dati che'); UPDATE TABLE ELECTIONS
    > SET VOTE = 'Trump'; COMMIT;
    > --

    - Scritto da: panda rossa
    > Cioe', esistono ancora in giro processi di
    > acquisizione dati che'); UPDATE TABLE ELECTIONS
    > SET VOTE = 'Trump'; COMMIT;
    > --
    non+autenticato
  • - Scritto da: flavio
    > Qualche anno fa lavoravo come dipendente in una
    > P.A. locale, subimmo un attacco sqlinjection (!)
    > avvenuto tramite un noto CMS
    > (!)
    > Da allora revisionammo tutto il nostro codice
    > inserendo del ciclo di sviluppo strumenti per
    > l'analisi del
    > codice.
    > Il problema era (e forse lo è ancora) il codice
    > realizzato dalle ditte esterne
    >Annoiato
    > Quindi in sintesi panda rossa, esiste ancora
    > codice che "spara" nel db i parametri della query
    > string (o analogo) senza alcun pre
    > processamento.

    Che esistano incapaci lo sappiamo: godono di ampia rappresentanza in questo forum.
    Ma i test vengono fatti prima di accettare un codice scritto da ditte esterne, oppure si prende tutto a scatola chiusa?

    > Chi controlla il codice sorgente dei prodotti
    > acquisiti o presi "as a
    > service"?

    C'e' un contratto di assistenza che prevede livelli di servizio?
    Nel momento in cui si verifica un problema causato da errori nel codice, l'assistenza interviene nei tempi previsti dal contratto, il quale dovrebbe anche prevedere penali e danni.
  • - Scritto da: panda rossa
    > - Scritto da: flavio
    > > Qualche anno fa lavoravo come dipendente in
    > una
    > > P.A. locale, subimmo un attacco sqlinjection
    > (!)
    > > avvenuto tramite un noto CMS
    > > (!)
    > > Da allora revisionammo tutto il nostro codice
    > > inserendo del ciclo di sviluppo strumenti per
    > > l'analisi del
    > > codice.
    > > Il problema era (e forse lo è ancora) il
    > codice
    > > realizzato dalle ditte esterne
    > >Annoiato
    > > Quindi in sintesi panda rossa, esiste ancora
    > > codice che "spara" nel db i parametri della
    > query
    > > string (o analogo) senza alcun pre
    > > processamento.
    >
    > Che esistano incapaci lo sappiamo: godono di
    > ampia rappresentanza in questo
    > forum.
    > Ma i test vengono fatti prima di accettare un
    > codice scritto da ditte esterne, oppure si prende
    > tutto a scatola
    > chiusa?
    >
    > > Chi controlla il codice sorgente dei prodotti
    > > acquisiti o presi "as a
    > > service"?
    >
    > C'e' un contratto di assistenza che prevede
    > livelli di
    > servizio?
    > Nel momento in cui si verifica un problema
    > causato da errori nel codice, l'assistenza
    > interviene nei tempi previsti dal contratto, il
    > quale dovrebbe anche prevedere penali e
    > danni.

    l'azienda e' fallita o non esiste piu' e tanti saluti alla
    macchinette closed da tenere staccate da internet, ormai dei mattoni tutti da riprogrammare se possibile
    non+autenticato
  • - Scritto da: Scintilla

    >
    > l'azienda e' fallita o non esiste piu' e tanti
    > saluti
    > alla
    > macchinette closed da tenere staccate da
    > internet, ormai dei mattoni tutti da
    > riprogrammare se
    > possibile

    Risposta da sbattere sonoramente in faccia a tutti gli intemediari parassiti sostenitori delle soluzioni closed, che non si stancano mai di trollare su questo forum.
    Il software closed e' un cancro che bisognera' arrivare a vietare per legge, prevedendo pene corporali per chi lo sostiene.
  • Stanno gia preparando il "casus belli" per annullare un eventuale elezione di Trump
    non+autenticato
  • Ma se agli americani è andato bene anche lo psicopatico alcolizzato di Nixon. Non è una battuta, è stato realmente così.
    non+autenticato