Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Se tolleri questo il tuo sito potrebbe essere il prossimo

Se tolleri questo il tuo sito potrebbe essere il prossimo Photo by on Unsplash
946 parole - Lo leggerai in 5 minuti

Tutto dipende da quello che sappiamo e dalla nostra sensibilità. Difficilmente usciremmo di casa la mattina lasciando porta e finestre spalancate; abbiamo capito che esistono i ladri che possono venire a farci visita.

Difficilmente partiremmo per un lungo viaggio senza controllare almeno olio e pressione degli pneumatici; abbiamo capito che questo potrebbe avere delle serie ripercussioni sia sulla nostra vacanza che sulla nostra stessa incolumità.

Abbiamo acquisito competenze e sensibilità in settori, pubblica sicurezza e meccanica per citare gli esempi di cui sopra, sui quali la maggior parte di noi non va oltre. Ma è giusto così, quel livello base di competenze e quella minima sensibilità ci mettono al riparo da guai non desiderati.

Nel campo informatico no.

Continuiamo imperterriti a pubblicare siti web, applicazioni mobile e chi più ne ha più ne metta che non sono state neanche testate ma che, soprattutto, non hanno fatto alcun passaggio di test di sicurezza. Facciamo questo a cuor leggero, forti di non riesco a capire quale convinzione, un attacco informatico non succederà mai a noi.

La vergogna ed il disonore

Vi racconto una storia. Settimana scorsa stavo facendo un po’ di random surfing e mi sono imbattuto in un blog, acquisito di recente da un grosso nome nel campo dell’editoria, che parlava fi fashion.

Ormai fashion blogger, così come food blogger, sono diventate professioni remunerative e può essere interessante anche il giro di affari in termini di soldi ricavati dalle inserzioni pubblicitarie.

Mentre navigavo sulle nuove tendenze dell’autunno 2015, vedo che il mio browser richiama un file da un dominio esterno. Si trattava di un file di testo che veniva incluso in questo blog, basato ovviamente su WordPress. Questo file veniva scaricato da un sito francesce, un sito vetrina di un laboratorio analisi o comunque una struttura medica. Questo file era codice PHP che realizzava una shell.

Il giro del fumo è quindi che un attaccante prima buca questo sito francesce di una società nel campo medicale, parcheggia qui il codice PHP da iniettare sulle vere vittime dei suoi attacchi e poi va in giro a bucare ignari blogger facendo in modo che i propri server si peschino il PHP, lo eseguano ed aprano un po’ di shell in giro per il mondo.

Ho mandato una mail sia alla blogger nostrana che ai francesi, spiegando nel dettaglio cosa era successo. Ovviemente, nessuna risposta.

Quindi può capitare anche a me?

Sì e, forse, è già capitato e non te ne sei neanche reso conto. I motivi che possono spingere una persona ad attaccare il tuo sito sono disparati e, per la tua igiene mentale, non li prenderei neanche in considerazione.

Perché un ladro ruba? Perché la macchina si rompe? Rispondere a questo domande non risolve il mio problema, considerare il rischio ed essere proattivo sì.

Maddai, io ho HTTPS

Di improvvisati ciso1 ne ho conosciuti parecchi. Giusto ieri un ragazzo, da 5 anni interactive media foobar manager o qualcosa di simile, mi ha contestato un report perché davanti al sito hanno un piccolo waf, credo fatto in casa, che banna l’ip attaccante per una decina di minuti. E tu a spiegare che un attaccante, l’IP sorgente te lo fa vedere come il prestigiatore ti lascia vedere le carte mentre le mescola.

Le risposte più disarmanti le ho avute comunque da chi è convinto, a volte fermamente, che il lucchetto davanti alla URL li stia proteggendo da attacchi informatici. “Tanto il sito è in HTTPS.” E tu, sempre gentilmente, gli mostri il dump del database preso con la più banale delle SQL Injection.

Off by one

Spesso i nostri interlocutori hanno un falso senso di sicurezza. Questa convinzione si basa sull’assunto, falso, che nessuno li possa attaccare e, secondo me assai più pericoloso, sulla mancata percezione del pericolo.

Secondo me in tutti i corsi, dalle superiori, all’ECDL, all’Università, si deve parlare della figura del criminale quando si parla di Internet. Un po’ come quando i nostri genitori ci hanno detto che al mondo non esistono solo le persone buone, bisogna togliere l’immagine romanzata della Rete come luogo, cyber, dove tutti condividono, dove si è social, dove tutti si è felici.

Mi spiace essere così rude, ma la Rete è popolata dalle stesse persone che trovate lì fuori. C’è la persona affabile, la persona collaborativa, il permaloso, l’egocentrico, lo stronzo e c’è anche quello che è lì pronto per fregarvi. Questa è la neutralità della Rete. Un po’ come nei giochi di ruolo, la Rete ha un allineamento neutrale, non le importa né del bene né del male, Lei è lì, serafica, un agglomerato di gente che parla TCP/IP e che cerca di raggiungersi anche quando un hop è giù.

Che voglia raggiungervi con scopi bellicosi, bhé dipende dalla persona dietro il monitor, la Rete per quello se ne frega.

Oggi vi voglio dare un compito, dopo aver letto questo post, condividetelo con un vostro amico o un vostro collega, che magari non si occupa di informatica ma che è responsabile di un sito o di un prodotto online. Fategli vedere che anche una fashion blogger può essere vittima di un attacco e poi domandategli “secondo te siamo veramente al sicuro?” e poi riportate qui le risposte che ottenete. Che ne dite?

Enjoy it!

  1. Chief Information Security Officier. E’ la persona che in azienda è a capo del dipartimento di sicurezza informatica. Di solito non comprende anche la parte di sicurezza fisica e, per maggior indipendenza è bene che sia un diretto diporto o del CTO o delle risorse umane. Ma sugli organigrammi ognuno poi fa come vuole. 

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list