Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 15 Ott 2009 14:08 Oggetto: Poste, un defacement preannunciato |
|
|
Commenti all'articolo Poste, un defacement preannunciato
I dati degli utenti erano davvero al sicuro? Pare che fosse possibile accedere al database degli utenti.
|
|
Top |
|
|
{Davide} Ospite
|
Inviato: 15 Ott 2009 15:01 Oggetto: un DBA coi fiocchi... |
|
|
certo che chi ha installato quel DB poteva ALMENO disabilitare l' utenza di default con profilo di amministratore (SYSTEM). In che mani siamo... |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 15 Ott 2009 17:48 Oggetto: |
|
|
Ah ecco, un sql injection!
Se non altro io pulisco tutte le querystring che mi entrano... |
|
Top |
|
|
.Maurizio. Ospite
|
Inviato: 15 Ott 2009 18:35 Oggetto: |
|
|
Ciao,
scusa ma sei sicuro che quegli utenti avessero accesso "ai database" come tu dici?
Credo che il server di salastampa fosse su una macchina che conteneva parte del sito, nemmeno tutto.
Quelli sembrano tabelle con magari i privilegi per amministrare i documenti della sala stampa.
CLUSADMIN mi sembra sia un utility microsof server..
ANTO... nn mi sembra una tabella/cartella con dati riservati
..le altre a prima vista sono documenti gestionali
Prima di arrivare alla intranet e alle macchine che contengono i dati dei clienti ce ne mancava ancora....
Dopo due mesi che è in giro non troveresti più nemmeno l'edificio delle poste se quello che dici è vero.
...tutto imho
Maurizio |
|
Top |
|
|
Gian1970 Comune mortale
Registrato: 15/10/09 20:46 Messaggi: 2
|
Inviato: 15 Ott 2009 20:59 Oggetto: Una domanda.... |
|
|
Scusate, che SW e' stato usato?
Mi sarebbe utilissimo per testare la mia roba.... |
|
Top |
|
|
syaochan Dio minore
Registrato: 15/02/06 09:38 Messaggi: 779
|
Inviato: 16 Ott 2009 09:28 Oggetto: |
|
|
Non ne ho idea, ma metasploit potrebbe essere un buon inizio per te. |
|
Top |
|
|
{Onorio} Ospite
|
Inviato: 16 Ott 2009 09:30 Oggetto: Di certo è che l'username non è/era al sicuro ... |
|
|
Oltre ai soliti tentativi di phishing per l'accesso a poste.it, inviati ad account di posta reperibili in rete, hanno iniziato ad arrivarmene alcuni indirizzati AL MIO ACCOUNT POSTE.IT, che non ho mai utilizzato o diffuso in alcun modo. Ciò mi fa supporre che quantomeno l'*elenco* degli utenti sia stato violato.
I dati di autenticazione, e i codici dispositivi evidentemente sono rimasti intonsi ... altrimenti avrei già trovato il conto azzerato :-/ |
|
Top |
|
|
{route67} Ospite
|
Inviato: 16 Ott 2009 09:37 Oggetto: |
|
|
anni fa... avevo un account con le Poste, poi cancellato per via di centinaia di SPAM a me ed altri indirizzi (in chiaro!) anch'essi @poste.it ; feci notare più di una volta il problema, senza avere mai risposta o soluzione, chiara dimostrazione che del servizio non erano interessati.
I nodi, dopo un po', vengono al pettine. |
|
Top |
|
|
pierpa Eroe in grazia degli dei
Registrato: 08/12/05 17:10 Messaggi: 167
|
Inviato: 16 Ott 2009 13:20 Oggetto: responsabilità penale per i sistemisti |
|
|
ci vuole urgentemente una legge che attribuisca una responsabilità penale per i sistemisti soprattutto in ambito pubblico ovvero sensibile. |
|
Top |
|
|
anyfile Semidio
Registrato: 27/08/05 16:20 Messaggi: 408
|
Inviato: 16 Ott 2009 15:50 Oggetto: |
|
|
Per quanto riguarda lo SPAM sull'indirizzo delle poste.it anche io ne sto ricevendo parecchio (ad essere precisi la strgrande maggior parte delle e-mail riguardano solo due siti, entrmabi dei casinò on-line).
Però non è che ci vuole molto ad inventarsi un possibile indirizzo valido.
Non so se sia ancora così, ma almeno quando mi sono registrato io (vermantre tanti anni fa), non è che uno poteva scegliere il proprio indirizzo, ma questo era assegnato in base al proprio nome e cognome. Pertanto non è così difficile inventarsi dei possibili indirizzi.
Anzi se non mi ricordo male dovrebbe perfino esserci un alias legato al (beh non diciamolo, metti che qualche spammer non c'è ancora arravito non voglio dargli suggerimenti). Se questo alias c'è ancora, generare una lista di possibili e-mail è proprio una cosa banale ... |
|
Top |
|
|
filipporiccio Mortale adepto
Registrato: 29/03/06 09:11 Messaggi: 38
|
Inviato: 16 Ott 2009 15:58 Oggetto: Non sono d'accordo sul penale |
|
|
Credo che ci siano abbastanza responsabilità penali sul trattamento dei dati personali, responsabilità anche ridicole (la mancata compilazione del DPS, per esempio, è punibile penalmente).
Condannare penalmente un amministratore perché qualcuno gli ha rubato dati sensibili è come mettere in galera uno perché gli svaligiano la casa, dicendo che la colpa è sua, perché non ha messo una serratura abbastanza robusta.
Al massimo sarebbe corretto attribuire una responsabilità civile (risarcimento danni) all'azienda se, a causa di una custodia non fatta a regola d'arte, gli utenti subiscono danni. Cosa che comunque già avviene.
Ma la responsabilità penale deve essere di chi commette illeciti sottraendo dati personali, non di chi se li fa (anche maldestramente) rubare... |
|
Top |
|
|
Zeus Amministratore
Registrato: 21/10/00 01:01 Messaggi: 12752 Residenza: San Junipero
|
Inviato: 16 Ott 2009 16:12 Oggetto: Re: responsabilità penale per i sistemisti |
|
|
pierpa ha scritto: | ci vuole urgentemente una legge che attribuisca una responsabilità penale per i sistemisti soprattutto in ambito pubblico ovvero sensibile. |
Si', e una separazione delle carriere tra chi scrive virus e chi software per la sicurezza. |
|
Top |
|
|
syaochan Dio minore
Registrato: 15/02/06 09:38 Messaggi: 779
|
Inviato: 16 Ott 2009 17:11 Oggetto: |
|
|
LOL bellissima! |
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 17 Ott 2009 20:19 Oggetto: |
|
|
Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 18 Ott 2009 00:50 Oggetto: |
|
|
MaXXX eternal tiare ha scritto: | Non che io sostenga cracker, defacciamenti ecc ma spero che la lezione per una volta serva a far mettere sale in zucca ai siti che non si preoccupano a 360° della sicurezza, spero che alle poste italiane si mettano all'opera |
Troppa mafia sotto, non cambierà mai nulla neppure se avessero rubato e diffuso tutti gli account degli utenti. |
|
Top |
|
|
zeross Moderatore Software e Programmazione
Registrato: 19/11/08 11:04 Messaggi: 6078 Residenza: Atlantica
|
Inviato: 18 Ott 2009 18:15 Oggetto: |
|
|
In realtà il problema e molto più complesso perchè estremamente complesso (o forse caotico) è il sistema di gestione delle poste italiane.
Innanzitutto i sistemi di poste italiane hanno due tipi di database diversi.
Uno che si basa su microsoft Windows ( tutte le versioni da NT a Vista) in accoppiata letale con SQL server ed uno con Sun Solaris 10 accompagnato da Oracle Database 9/10/11 ( per inciso su Oracle DB 9 girano gli archivi più vecchi o fuori ordine e quindi nemmeno vigilati ma questo non sminuisce la gravità della figuraccia di poste italiane) è già quindi vediamo che esistono due distinti sistemi di archiviazione dei dati.
Le cose diventano ancora più tragicomiche dal momento che la gestione della base dati clienti bancoposta risiede su Oracle ( nello specifico 11g) mentre l'acquisizione dei dati avviene tramite windows che lo invia ai CUAS dove in molti di essi esiste SQL Server, che poi lo invia ai CED di Poste italiane.
Anche la gestione della movimentazione della corrispondenza gira su macchine dotate di prodotti microsoft ( come tutti i postamat che sono dotati di prodotti della famiglia Windows) e una gran parte dei server sono dotati di SQL server.
Quindi se io vado in un ufficio postale ed effettuo una operazione allo sportello, i miei dati vengono inseriti su una macchina che fà girare windows ( uno qualunque tanto fanno tutti lo stesso effetto) che poi invia le informazioni ad un DBMS microsoft, mentre nel momento che io uso ( obbligatoriamente ) la tesserina postamat i mie dati vanno indirizzati ad un sistema Solaris/oracle che poi restituisce al sistema Microsoft la risposta.
Non proprio il max della linearità.
Inoltre in molti uffici più nuovi ci sono solo prodotti Sun, mentre in altri uffici solo prodotti microsoft!
Tutte le informazioni degli account di posta elettronica di Poste italiane giravano su applicativi Microsoft.
Quello che è stato sottoposto a defacciamento e il webserver che gira su microsoft e gestisce la pagina web, e da quello sono riusciti ad arrivare ad alcune pagine di interfacciamento con i database, ma senza qualificare con precisione di che tipo di dati e quanto aggiornati fossero.
Alla fine hanno ragione quelli di Poste italiane a dire che i dati sensibili degli utenti del poste italiane non sono stati raggiunti, ma è anche vero che la facilità sconcertante con cui è stato effettuato il defacemet deve far riflettere sul livello di attenzione del reparto sicurezza delle poste italiane.
Non basta avere un bell'ufficio con tanti monitor per garantire la sicurezza, se l'insieme sottostante è un coacervo caotico ed illogico di sistemi operativi, applicativi e piattaforme. |
|
Top |
|
|
|