Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Poste, un defacement preannunciato
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 15 Ott 2009 14:08    Oggetto: Poste, un defacement preannunciato Rispondi citando

Commenti all'articolo Poste, un defacement preannunciato
I dati degli utenti erano davvero al sicuro? Pare che fosse possibile accedere al database degli utenti.
Top
{Davide}
Ospite





MessaggioInviato: 15 Ott 2009 15:01    Oggetto: un DBA coi fiocchi... Rispondi citando

certo che chi ha installato quel DB poteva ALMENO disabilitare l' utenza di default con profilo di amministratore (SYSTEM). In che mani siamo...
Top
freemind
Supervisor sezione Programmazione
Supervisor sezione Programmazione


Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet

MessaggioInviato: 15 Ott 2009 17:48    Oggetto: Rispondi citando

Ah ecco, un sql injection!
Se non altro io pulisco tutte le querystring che mi entrano...
Top
Profilo Invia messaggio privato
.Maurizio.
Ospite





MessaggioInviato: 15 Ott 2009 18:35    Oggetto: Rispondi citando

Ciao,
scusa ma sei sicuro che quegli utenti avessero accesso "ai database" come tu dici?

Credo che il server di salastampa fosse su una macchina che conteneva parte del sito, nemmeno tutto.

Quelli sembrano tabelle con magari i privilegi per amministrare i documenti della sala stampa.
CLUSADMIN mi sembra sia un utility microsof server..
ANTO... nn mi sembra una tabella/cartella con dati riservati
..le altre a prima vista sono documenti gestionali

Prima di arrivare alla intranet e alle macchine che contengono i dati dei clienti ce ne mancava ancora....

Dopo due mesi che è in giro non troveresti più nemmeno l'edificio delle poste se quello che dici è vero.

...tutto imho

Maurizio
Top
Gian1970
Comune mortale
Comune mortale


Registrato: 15/10/09 20:46
Messaggi: 2

MessaggioInviato: 15 Ott 2009 20:59    Oggetto: Una domanda.... Rispondi citando

Scusate, che SW e' stato usato?
Mi sarebbe utilissimo per testare la mia roba....
Top
Profilo Invia messaggio privato
syaochan
Dio minore
Dio minore


Registrato: 15/02/06 09:38
Messaggi: 779

MessaggioInviato: 16 Ott 2009 09:28    Oggetto: Rispondi citando

Non ne ho idea, ma metasploit potrebbe essere un buon inizio per te.
Top
Profilo Invia messaggio privato
{Onorio}
Ospite





MessaggioInviato: 16 Ott 2009 09:30    Oggetto: Di certo è che l'username non è/era al sicuro ... Rispondi citando

Oltre ai soliti tentativi di phishing per l'accesso a poste.it, inviati ad account di posta reperibili in rete, hanno iniziato ad arrivarmene alcuni indirizzati AL MIO ACCOUNT POSTE.IT, che non ho mai utilizzato o diffuso in alcun modo. Ciò mi fa supporre che quantomeno l'*elenco* degli utenti sia stato violato.
I dati di autenticazione, e i codici dispositivi evidentemente sono rimasti intonsi ... altrimenti avrei già trovato il conto azzerato :-/
Top
{route67}
Ospite





MessaggioInviato: 16 Ott 2009 09:37    Oggetto: Rispondi citando

anni fa... avevo un account con le Poste, poi cancellato per via di centinaia di SPAM a me ed altri indirizzi (in chiaro!) anch'essi @poste.it ; feci notare più di una volta il problema, senza avere mai risposta o soluzione, chiara dimostrazione che del servizio non erano interessati.
I nodi, dopo un po', vengono al pettine.
Top
pierpa
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/12/05 17:10
Messaggi: 167

MessaggioInviato: 16 Ott 2009 13:20    Oggetto: responsabilità penale per i sistemisti Rispondi citando

ci vuole urgentemente una legge che attribuisca una responsabilità penale per i sistemisti soprattutto in ambito pubblico ovvero sensibile.
Top
Profilo Invia messaggio privato
anyfile
Semidio
Semidio


Registrato: 27/08/05 16:20
Messaggi: 408

MessaggioInviato: 16 Ott 2009 15:50    Oggetto: Rispondi citando

Per quanto riguarda lo SPAM sull'indirizzo delle poste.it anche io ne sto ricevendo parecchio (ad essere precisi la strgrande maggior parte delle e-mail riguardano solo due siti, entrmabi dei casinò on-line).

Però non è che ci vuole molto ad inventarsi un possibile indirizzo valido.
Non so se sia ancora così, ma almeno quando mi sono registrato io (vermantre tanti anni fa), non è che uno poteva scegliere il proprio indirizzo, ma questo era assegnato in base al proprio nome e cognome. Pertanto non è così difficile inventarsi dei possibili indirizzi.

Anzi se non mi ricordo male dovrebbe perfino esserci un alias legato al (beh non diciamolo, metti che qualche spammer non c'è ancora arravito non voglio dargli suggerimenti). Se questo alias c'è ancora, generare una lista di possibili e-mail è proprio una cosa banale ...
Top
Profilo Invia messaggio privato
filipporiccio
Mortale adepto
Mortale adepto


Registrato: 29/03/06 09:11
Messaggi: 38

MessaggioInviato: 16 Ott 2009 15:58    Oggetto: Non sono d'accordo sul penale Rispondi citando

Credo che ci siano abbastanza responsabilità penali sul trattamento dei dati personali, responsabilità anche ridicole (la mancata compilazione del DPS, per esempio, è punibile penalmente).
Condannare penalmente un amministratore perché qualcuno gli ha rubato dati sensibili è come mettere in galera uno perché gli svaligiano la casa, dicendo che la colpa è sua, perché non ha messo una serratura abbastanza robusta.
Al massimo sarebbe corretto attribuire una responsabilità civile (risarcimento danni) all'azienda se, a causa di una custodia non fatta a regola d'arte, gli utenti subiscono danni. Cosa che comunque già avviene.
Ma la responsabilità penale deve essere di chi commette illeciti sottraendo dati personali, non di chi se li fa (anche maldestramente) rubare...
Top
Profilo Invia messaggio privato
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12752
Residenza: San Junipero

MessaggioInviato: 16 Ott 2009 16:12    Oggetto: Re: responsabilità penale per i sistemisti Rispondi citando

pierpa ha scritto:
ci vuole urgentemente una legge che attribuisca una responsabilità penale per i sistemisti soprattutto in ambito pubblico ovvero sensibile.


Si', e una separazione delle carriere tra chi scrive virus e chi software per la sicurezza.
Top
Profilo Invia messaggio privato HomePage
syaochan
Dio minore
Dio minore


Registrato: 15/02/06 09:38
Messaggi: 779

MessaggioInviato: 16 Ott 2009 17:11    Oggetto: Rispondi citando

LOL bellissima!
Top
Profilo Invia messaggio privato
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 11:13
Messaggi: 2290
Residenza: Dreamland

MessaggioInviato: 17 Ott 2009 20:19    Oggetto: Rispondi citando

Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera Rolling Eyes
Top
Profilo Invia messaggio privato
freemind
Supervisor sezione Programmazione
Supervisor sezione Programmazione


Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet

MessaggioInviato: 18 Ott 2009 00:50    Oggetto: Rispondi citando

MaXXX eternal tiare ha scritto:
Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera Rolling Eyes

Troppa mafia sotto, non cambierà mai nulla neppure se avessero rubato e diffuso tutti gli account degli utenti.
Top
Profilo Invia messaggio privato
zeross
Moderatore Software e Programmazione
Moderatore Software e Programmazione


Registrato: 19/11/08 11:04
Messaggi: 6078
Residenza: Atlantica

MessaggioInviato: 18 Ott 2009 18:15    Oggetto: Rispondi

In realtà il problema e molto più complesso perchè estremamente complesso (o forse caotico) è il sistema di gestione delle poste italiane.

Innanzitutto i sistemi di poste italiane hanno due tipi di database diversi.

Uno che si basa su microsoft Windows ( tutte le versioni da NT a Vista) in accoppiata letale con SQL server ed uno con Sun Solaris 10 accompagnato da Oracle Database 9/10/11 ( per inciso su Oracle DB 9 girano gli archivi più vecchi o fuori ordine e quindi nemmeno vigilati ma questo non sminuisce la gravità della figuraccia di poste italiane) è già quindi vediamo che esistono due distinti sistemi di archiviazione dei dati. Mad

Le cose diventano ancora più tragicomiche dal momento che la gestione della base dati clienti bancoposta risiede su Oracle ( nello specifico 11g) mentre l'acquisizione dei dati avviene tramite windows che lo invia ai CUAS dove in molti di essi esiste SQL Server, che poi lo invia ai CED di Poste italiane. Shocked

Anche la gestione della movimentazione della corrispondenza gira su macchine dotate di prodotti microsoft ( come tutti i postamat che sono dotati di prodotti della famiglia Windows) e una gran parte dei server sono dotati di SQL server.
Quindi se io vado in un ufficio postale ed effettuo una operazione allo sportello, i miei dati vengono inseriti su una macchina che fà girare windows ( uno qualunque tanto fanno tutti lo stesso effetto) che poi invia le informazioni ad un DBMS microsoft, mentre nel momento che io uso ( obbligatoriamente ) la tesserina postamat i mie dati vanno indirizzati ad un sistema Solaris/oracle che poi restituisce al sistema Microsoft la risposta. Confused
Non proprio il max della linearità. Ahrahr
Inoltre in molti uffici più nuovi ci sono solo prodotti Sun, mentre in altri uffici solo prodotti microsoft! Furibondo

Tutte le informazioni degli account di posta elettronica di Poste italiane giravano su applicativi Microsoft. Evil or Very Mad

Quello che è stato sottoposto a defacciamento e il webserver che gira su microsoft e gestisce la pagina web, e da quello sono riusciti ad arrivare ad alcune pagine di interfacciamento con i database, ma senza qualificare con precisione di che tipo di dati e quanto aggiornati fossero. Surprised

Alla fine hanno ragione quelli di Poste italiane a dire che i dati sensibili degli utenti del poste italiane non sono stati raggiunti, ma è anche vero che la facilità sconcertante con cui è stato effettuato il defacemet deve far riflettere sul livello di attenzione del reparto sicurezza delle poste italiane.

Non basta avere un bell'ufficio con tanti monitor per garantire la sicurezza, se l'insieme sottostante è un coacervo caotico ed illogico di sistemi operativi, applicativi e piattaforme. Razz
Top
Profilo Invia messaggio privato MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi