“Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet”. Secondo l’esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it , sito della nota agenzia di stampa italiana.
Nel suo blog Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell’agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l’interfaccia utente di tali applicazioni era accessibile a chiunque : per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l’indice delle notizie e il relativo autore. Non senza grande stupore, l’hacker ha scoperto che certi collaboratori utilizzano lo username anche come password : ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove .
“La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri”, scrive Valotta nel proprio blog. “Nella mente dei progettisti l’autenticazione è stata pensata con l’intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l’autenticazione, altra è l’autorizzazione. La seconda (che ho detto) è… inesistente”.
Con qualche accorgimento e un po’ di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa : falsa ma accreditata dalla maggiore agenzia stampa italiana.
Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di “prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti”.
“Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo”, ha commentato l’esperto, che in una email inviata a Punto Informatico ha anche aggiunto: “Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po’ di curiosità”.
Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontraate.
Ti potrebbe interessare
10 ott 2007