Thomas Zaffino

Sicurezza, attacco alla PA italiana

Uno dei siti del Ministero della Funzione Pubblica č stato reso inaccessibile da un banale attacco SQL injection. Il giovane, che si fa chiamare Kapustkiy, ha messo le mani su di un database di 45mila credenziali. Anche Equitalia nelle scorse ore ha sofferto

Roma - Per bucare il sito governativo mobilita.gov.it del Ministero della Funzione Pubblica è bastato un semplice attacco di SQL injection: il Dipartimento della Funzione Pubblica e il Governo, non sono stati in grado di proteggere dati e servizi della pubblica amministrazione dagli attacchi provenienti da un ragazzo di appena 17 anni, tale Kapustkiy, già noto per avere creato problemi simili in varie nazioni. L'attacco gli ha permesso di accedere a un database di 45mila credenziali di accesso a servizi della pubblica amministrazione e di condividerne 9mila su Pastebin, allo scopo di spronare gli amministratori del sito attaccato, ancora fuori servizio per manutenzione, a risolvere il problema.

mobilita.gov.it

L'aspetto più rilevante della vicenda è probabilmente il fatto che i funzionari abbiano ignorato le email del giovane, almeno secondo quanto riferito dallo stesso Kapustkiy, che avrebbe inutilmente cercato di contattare gli amministratori del sito per segnalare la vulnerabilità: "Non ho ricevuto nessuna risposta da loro", ha riferito il diciassettenne, il quale spera che con l'attacco e la conseguente fuoriuscita di dati li convinca ad adottare contromisure efficaci.



Kapustkiy ha persino ironizzato sulla vicenda con un tweet nel quale precisa di non essere un hacker, nonostante la stampa si ostini a definirlo tale. Sull'accaduto è intervenuto anche Andrea Rigoni, esperto di sicurezza italiano e consulente per la NATO, il quale, intervistato da Repubblica, ha criticato l'assenza di reazione da parte delle autorità nazionali, stigmatizzando la mancanza di risposta rispetto ai tentativi di contatto intrapresi dal ragazzo.
A poche ore dall'accaduto, sono stati presi di mira anche i server di Equitalia, bersaglio di un attacco che ha messo fuori uso il sito web, che ora sembra essere tornato alla normalità. Ad annunciare l'interruzione temporanea dei servizi è stata la stessa agenzia di riscossione mediante un tweet.



In questo caso, però, il problema potrebbe essere riconducibile ad una vulnerabilità di WebSphere, l'application server di IBM già al centro delle attenzioni per un exploit del quale è stato pubblicato un parziale Proof-of-Concept del codice, dopo l'intervento dell'azienda produttrice.



Per quanto concerne Kapustkiy, il cui intento era semplicemente quello di tentare di accedere ai server istituzionali per dimostrarne la vulnerabilità, la lista dei siti attaccati negli ultimi mesi comprende l'ambasciata paraguaiana di Taiwan, le ambasciate indiane di Svizzera, Mali, Romania, Italia, Malawi e Libia. Il diciassettenne ha compromesso anche due sottodomini della Virginia University e un sottodominio della University of Wisconsin.



In un'intervista rilasciata a SecurityAffairs si legge che il giovane si ispira al movimento LulzSec anche se non ne condivide pienamente lo spirito: "La mia motivazione è legata al fatto che mi piace aiutare gli amministratori a configurare i loro siti in maniera che possano renderli sicuri", sperando in un futuro lavoro nell'industria della cyber security.

Thomas Zaffino
Notizie collegate
32 Commenti alla Notizia Sicurezza, attacco alla PA italiana
Ordina
  • E' normalissimo che ciò avvenga quando si appaltano i lavori a società esterne di "consulenza" o a body-rentallari.
    non+autenticato
  • Che non si riesce a inserire pratiche perchè compare l'errore "possibile sql injection" dopo aver scelto nazione e provincia.
    non+autenticato
  • viva Windows, viva Microsoft, viva il gestionale fatto dal cugino dei mafioso di turno
    non+autenticato
  • Viva Lenin, viva Stalin, viva Mao Tze Tung!
    non+autenticato
  • - Scritto da: collione
    > viva Windows, viva Microsoft, viva il gestionale
    > fatto dal cugino dei mafioso di
    > turno

    Viva chi ha lasciato la porta spalancata su internet.... altro che Windows ... MS.
  • e se non lasci la porta aperta, gli utenti come fanno ad usare il tuo sito?
    non+autenticato
  • "La porta" nel senso di lasciar fare del SQL Injection da internet.

    I miei siti hanno "le porte" non necessarie chiuse e sono accessibilissimi.
  • ma se stanno co le pezze al culo, carabinieri senza benzina per le auto, tribunali senza carta per le fotocopie, ma che cazzo stiamo a parlare di sicurezza digitale? qui siamo a livello di africa subs sahariana.
    non+autenticato
  • - Scritto da: ...

    > di sicurezza digitale? qui siamo a livello di
    > africa subs
    > sahariana.

    ah ecco perche' gli africani emigrano in massa qui

    cioe', dal loro punto di vista, stanno semplicemente facendo un viaggio da uno Stato africano verso un altro Stato africanoA bocca aperta
    non+autenticato
  • Ma era vulnerabile solo a SQL injection, roba sofisticata! Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > Ma era vulnerabile solo a SQL injection, roba
    > sofisticata!
    > Rotola dal ridere

    finche' stanziano decine di milioni per sfamare tutto il piddi', e poi con le quattro lire che avanzano fanno sviluppare il codice al cuggino di Renzie, c'e' da stupirsi che sia solo vulnerabile alla SQL Iniection.
  • non che la casaleggio sia messa meglioA bocca storta
    non+autenticato
  • - Scritto da: blabla
    > non che la casaleggio sia messa meglioA bocca storta

    Chi c'e' al ministero della funzione pubblica?

    Fino a che l'attuale pallonaro non si dimettera' il 5 dicembre, governa il piddi' con alfano e verdini (ricordate compagni che avete votato SEL alle scorse elezioni: alfano e verdini).

    Quindi il bug della SQL iniection e' responsabilita' di renzie.

    Al referendum avremo l'opportunita' di decidere se vogliamo software ministreriale buggato o NO.
  • potremmo anche scegliere se avere sempre giornate di sole nei fine settimana oppure no! fate voi
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: blabla
    > > non che la casaleggio sia messa meglioA bocca storta
    >
    > Chi c'e' al ministero della funzione pubblica?
    >
    > Fino a che l'attuale pallonaro non si dimettera'
    > il 5 dicembre, governa il piddi' con alfano e
    > verdini (ricordate compagni che avete votato SEL
    > alle scorse elezioni: alfano e
    > verdini).
    >
    > Quindi il bug della SQL iniection e'
    > responsabilita' di
    > renzie.
    >
    > Al referendum avremo l'opportunita' di decidere
    > se vogliamo software ministreriale buggato o
    > NO.

    ma io voglio davvero che il M5S vinca, così, mentre i deputati navigano con l'IPAD, la casaleggio ci spiega come rendere sicuri i server della PA Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: blabla
    > > non che la casaleggio sia messa meglioA bocca storta
    >
    > Chi c'e' al ministero della funzione pubblica?
    >
    > Fino a che l'attuale pallonaro non si dimettera'
    > il 5 dicembre, governa il piddi' con alfano e
    > verdini (ricordate compagni che avete votato SEL
    > alle scorse elezioni: alfano e
    > verdini).
    >
    > Quindi il bug della SQL iniection e'
    > responsabilita' di
    > renzie.
    >
    > Al referendum avremo l'opportunita' di decidere
    > se vogliamo software ministreriale buggato o
    > NO.

    Sembra quasi, ripeto sembra , che ti stia giustificando.

    Sará mica che lavori nella PA e vista la cazzata fatta ...... "piove governo ladro" ?

    Mi sbaglierò ..... ma sembra proprio che tu stia giustificandoti.
  • ah, beh, basta dire NO a tutto e siamo a posto.
    Referendum? NO
    TAV? NO
    Inceneritori? NO
    Internet? NO. Un attimo, c'è anche il blog di Grill... clic.
    Troppo tardi: a forza di dire no, i grillini voteranno per l'autodistruzione.
    non+autenticato
  • - Scritto da: rico
    > ah, beh, basta dire NO a tutto e siamo a posto.
    > Referendum? NO
    > TAV? NO
    > Inceneritori? NO
    > Internet? NO. Un attimo, c'è anche il blog di
    > Grill...
    > clic.
    > Troppo tardi: a forza di dire no, i grillini
    > voteranno per
    > l'autodistruzione.

    Prova a proporre qualcosa di veramente utile al progresso del paese invece che all'arricchimento indebito dei soliti, e otterrai risposte diverse.

    Per esempio l'altra settimana quano il M5S ha proposto una legge per il DIMEZZAMENTO degli stipendi dei parlamentari, chi e' che ha detto NO?
  • > Per esempio l'altra settimana quano il M5S ha
    > proposto una legge per il DIMEZZAMENTO degli
    > stipendi dei parlamentari, chi e' che ha detto
    > NO?

    Una bella presa per il culo direi... i pentastellati dovrebbero ben sapere ora che quasi tutti i parlamentari girano metà dello stipendio al partito perchè comunque i soldi veri li fanno coi rimborsi forfettari.

    Gliela rimbalzeranno lo stesso e non fa comodo nemmeno a loro quindi non se ne parlerà nemmeno ma se fossero un partito serio avrebbero proposto una legge seria di regolamentazione della figura del parlamentare, che prevede stipendio da dipendente pubblico e rimborso basato su quanto effettivamente speso a fronte di ricevute con chiari limiti di spesa, nessun diritto al portaborse (non si capisce per quale motivo) e spese di rappresentanza (devi fare leggi non il venditore porta a porta)

    Poi scusa loro votano no a qualsiasi legge che non sia fatta da loro, cosa si aspettavano? Chiara mossa demagogica e puzzolente di marcio.

    Nemmeno due anni e fanno schifo come gli altri.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Per esempio l'altra settimana quano il M5S ha
    > > proposto una legge per il DIMEZZAMENTO degli
    > > stipendi dei parlamentari, chi e' che ha
    > detto
    > > NO?
    >
    > Una bella presa per il culo direi... i
    > pentastellati dovrebbero ben sapere ora che quasi
    > tutti i parlamentari girano metà dello stipendio
    > al partito perchè comunque i soldi veri li fanno
    > coi rimborsi forfettari.

    A me di quello che i politici fanno coi loro soldi non interessa.
    Li vogliono dare al partito, in beneficienza, o al trans del raccordo anulare, sono affaracci loro.

    La proposta di legge era chiara: dimezzare gli stipendi.

    Hanno detto NO.

    E diremo NO anche noi.

    > Gliela rimbalzeranno lo stesso e non fa comodo
    > nemmeno a loro quindi non se ne parlerà nemmeno
    > ma se fossero un partito serio avrebbero proposto
    > una legge seria di regolamentazione della figura
    > del parlamentare, che prevede stipendio da
    > dipendente pubblico e rimborso basato su quanto
    > effettivamente speso a fronte di ricevute con
    > chiari limiti di spesa, nessun diritto al
    > portaborse (non si capisce per quale motivo) e
    > spese di rappresentanza (devi fare leggi non il
    > venditore porta a
    > porta)

    E' quello che si fara', non appena l'abusivo non eletto verra' sfrattato dal referendum.

    > Poi scusa loro votano no a qualsiasi legge che
    > non sia fatta da loro, cosa si aspettavano?

    Hanno votato NO a qualsiasi legge contro gli interessi della cittadinanza.
    Quando ne e' stata proposta qualcuna effettivamente utile alla cittadinanza hanno approvato.

    > Chiara mossa demagogica e puzzolente di marcio.

    La puzza di marcio viene tutta dall'accozzaglia al governo.
    Alfano, Verdini, Renzi, uno piu' a destra dell'altro.

    > Nemmeno due anni e fanno schifo come gli altri.

    Intanto gli altri fanno schifo.
    E sono pure corrotti disonesti.