Storie dalla Sala Macchine


Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Login/Register

L'anello debole

Tutti parlano di "sicurezza computerizzata" da sempre ma ben pochi sanno che cosa e' o come funziona, ed ancora meno se ne preoccupano. Non e' passato tanto tempo da quando diverse societa' si sono ritrovate con milioni di "dati personali" dei loro clienti pubblicati ovunque e/o sotto il tiro di organizzazioni criminali. Il che mi fa pensare che la situazione non e' cambiata molto da quando scrissi questo documento, che e' tutt'ora buono.

Quello che e' cambiato da allora e' che la situazione e' forse peggiorata. Prima dovevamo preoccuparci di computers. Adesso dobbiamo preoccuparci di computers, telefoni (che sono computers), tablets (che sono computers), il campanello della porta, la serratura del garage, il termostato del termosifone, il tostapane, il frigorifero, la tapparella della finestra, l'automobile e lo sciacquone del cesso (che, apparentemente, non solo sono computers ma devono essere connessi ad internet 24x7 per funzionare).

Ed in tutto questo casino, pare che l'opinione comune riguardo la "sicurezza" sia di... ignorarla completamente.

E adesso che abbiamo messo giu' le basi, parliamo di $lucchi&mamma, societa' che si occupava di varie cose.

Questa gente aveva diversi servers che svolgevano calcoli e "business analisys", cioe' raccattavano dati forniti da altre societa' e quindi si inventavano un sacco di numeri con il quali produrre grafici ed altra roba.

Dato che il 99% della loro attivita' consisteva nel raccogliere e distribuire documenti e databases, una parte della loro infrastruttura era costituita da un paio di servers che fornivano accesso FTP ed SFTP per diversi "clienti".

Ora, FTP e' un protocollo che fu inventato nell'epoca dorata in cui in tutto il mondo ci erano solo 4 computers di cui due erano nella stessa universita' ed uno usava lo stesso cavo del telefono percui chi lo usava doveva attaccare e staccare il cavo. Non e' una sorpresa quindi che l'intero concetto di "sicurezza" e' abbastanza carente.

Se a questo aggiungiamo che FTP funziona nella maggioranza dei casi lasciando che il client inizi una nuova connessione su una porta a caso... ed abbiamo qualche problema quando si tratta di firewall. Soprattutto quando si aggiunge il "modo standard" di operazioni che da noi era "tutto e' chiuso se non e' specificamente richiesto". Che e' un'ottimo modo, ma richiede che qualcuno si metta li' e faccia un'inventario di tutto quello che deve passare, da dove e dove dovrebbe andare. Il che, per $lucchi, era una grande rottura.

Per esempio, una bella mattina riceviamo una chiamata dal CL di turno che lamenta che un suo cliente lamenta che un consulente non puo' collegarsi al loro SFTP.

CL - Quindi il nostro cliente ha questo consulente che lavora da fuori ed adesso non puo' piu' collegarsi.
IO - Quindi si collegava prima? Probabilmente il suo IP e' cambiato, possiamo avere il nuovo IP e quello vecchio?
CL - Non lo so io il suo IP, ma non si puo' aprirli tutti e basta?
IO - Per questo dovrete fare una richiesta diretta, lo standard e' aprire quello che deve essere aperto quando deve essere aperto.
CL - Ma mi sembra una gran rottura...
IO - Lei lascia la porta di casa sempre spalancata o la apre solo quando suonano e vede chi e'?
CL - ...che c'entra...
IO - E' esattamente la stessa cosa.

Dopo diverse discussioni, riusciamo ad avere il nuovo IP. Che risulta essere dalla Cina.

IO - Il vostro consulente adesso e' in Cina?
CL - Non e' il nostro consulente e' di un nostro cliente.
IO - Ed e' in Cina?
CL - Non lo so se e' in Cina.
IO - Bene, domandatelo al vostro cliente allora.

Passa un po' di tempo e poi riceviamo una risposta dal Cliente di CL (CL2)

CL2 - Cosa vorrebbe dire "cina"?
IO - Che l'IP che e' stato fornito da CL e' dalla Cina.
CL2 - ...il nostro consulente non e' in Cina e' in Germania, voi state dicendo stronzate.
IO - L'ip che mi e' stato dato e' X.Y.Z.K, e' questo?
CL2 - Si'... almeno mi sembra.
IO - Questo IP appartiene ad un ISP Cinese.
CL2 - No... non e' possibile.
IO - Controlli per cortesia.
CL2 - Io devo controllare?
IO - Si, contatti il consulente e domandi.

Passa un altro po' di tempo.

CL2 - Allora, ho parlato con il consulente, che non lavora piu' per noi apparentemnte, e non e' in Cina e non ha manco provato a collegarsi da diversi giorni...
IO - Ottimo.
CL2 - Qualcuno ha idea di che cosa stia succedendo?
IO - Credo che sia il caso che voi facciate un po' di pulizia tra i vostri registri del personale, chi lavora per voi, chi NON lavora per voi e soprattutto che cominciate ad indagare quando qualcuno chiede di avere accesso al vostro sistema.
CL2 - Noi dobbiamo farlo?
IO - E chi se no? Noi di certo non sappiamo chi lavora per voi e chi no.

Questa solfa si ripete' per un altro paio di volte. Finche' ad un bel momento, $lucchi decise che la cosa migliore era fare un bel "passa tutto" per quanto riguardava l'accesso ai loro sistemi e basta. La discussione al riguardo ando' piu' o meno come "loro ci pagano e quindi noi lo facciamo". Io tantai di far notare che il "motto" aziendale conteneva la parola "sicurezza" e quindi era intrinsecamente in conflitto con l'idea di "passa tutto senza fare domande", ma tante'...

Poi, una bella giornata, salto' fuori che una buona fetta del loro database era finito su svariati siti di pubblico dominio ed ovviamente i clienti interessati non erano molto contenti. Ovviamente noi fummo chiamati in causa per spiegare come tale "incidente" si fosse verificato.

Una rapida investigazione rivelo' che uno degli impiegati di $lucchi&mamma (CL3) aveva fatto diverse operazioni sul database nei giorni precedenti, facendo login da svariati IP, parecchi dei quali NON ERANO quelli da cui CL3 avrebbe potuto fare login. Perche' non importa quanto sei veloce, non puoi fare accesso dal Peru', dalla Cina e dalla Germania distanza di 5 minuti. Ed io notai anche che prima del fatto, per giorni in effetti, CL3 aveva fatto accesso da un IP che era di uno dei clienti di $lucchi, ed erano login praticamente giornalieri. La domanda quindi divenne: CL3 lavora da questo cliente?

CL3 - Ah, no, quello e' ok.
IO - "Quello e' ok" significa?
CL3 - Che quelli sono nostri clienti.
IO - Si lo so, il loro IP era nella nostra lista gia' da tempo. Ma come mai questa gente fa login come te o sei te che sei da loro?
CL3 - No, sono loro che fanno login come me.
IO - ...spiega un po' sta' cosa.
CL3 - E' che avevano bisogno di fare certi lavori sul nostro database e noi non avevamo il tempo di fare il solito giro per richiedere una login e allora gli ho dato la mia.

...silenzio...

IO - La tua login e' il tuo indirizzo di mail giusto?
CL3 - Si.
IO - E la tua password e' la stessa che usi per la mail magari?
CL3 - Ma che c'entra?
IO - C'entra che hai dato l'accesso a tutta la mail aziendale a qualcuno.
CL3 - Ma sono nostri clienti...
IO - E loro a chi hanno dato la stessa mail e password?

Ovviamente, questo comporto' parecchio lavoro per $lucchi&mamma, perche' non solo dovettero cambiare TUTTE LE PASSWORD di tutti i sistemi e controllare TUTTO QUELLO CHE ERA PASSATO PER LA MAIL DI CL3, o che era passato in uno qualunque dei sistemi dove CL3 aveva accesso ed a cui bastava dare un "ho dimenticato la password" per averla inviata via mail (la stessa mail a cui tutti avevano accesso a questo punto).

Il maggiore problema, almeno secondo me, fu che l'intera idea di "sicurezza" era andata a farsi benedire a questo punto. Quando "ci pagano e quindi facciamo come dicono loro" diventa piu' importante, non puoi di certo pretendere che ti interessa la sicurezza. Quello che ti interessa, sono i soldi del cliente.

Davide
28/09/2018 14:19

Precedente Successivo

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

11 messaggi posta messaggio
Messer Franz Di Messer Franz - postato il 19/11/2018 10:15 - rispondi

I saggi dicevano "attacca il ciuccio dove vuole il padrone".

Non dicevano però cosa fare quando qualcuno ha rubato il ciuccio e il padrone se la prende con te perchè sei un suo sottoposto e non vuole ammettere di essere un deficiente...

io di solito mi occupo di programmazione ( anche web ) ma per la sicurezza con alcune scuse collaudate scarico la responsabilità di dirmi cosa fare ad uno che si vanta di essere supergenio della sicurezza web...

Un giorno hanno sfondato un sito, ma non c'è stato problema per nessuno ( di noi ): il loro sistemista aveva modificato il codice (la configurazione) per  far sì che il sito si collegasse con un solo utente, l'amministratore standard, con come password "password321" (ci sono i numeri quindi è sicura) perchè non voleva fare altri utenti.

Pensa un po', appena (grazie al sito online) il web ha saputo il loro ip (che prima usavano solo internamente), INCREDIBILMENTE hanno aperto il db come una cozza...

questi hackers sono veramente incredibili, ne sanno una più del diavolo...

--
Messer Franz


Anonymous coward Di Anonymous coward - postato il 19/11/2018 11:04 - rispondi

ma cl3 lavorava per $SitoFamosoSoprattuttoPerLeDomandeEPerILeak di cui vegnono pubblicati i leak ogni 3x2?

--
Anonymous coward


Thomas Di Thomas - postato il 19/11/2018 17:09 - rispondi

Ironicamente, secondo Chrome soft-land è un sito "non sicuro" :\)

(per default lo dice di tutti i siti non in HTTPS)

--
Thomas


Davide Bianchi@ Thomas Di Davide Bianchi - postato il 20/11/2018 10:22 - rispondi

Ironicamente, secondo Chrome soft-land è un sito "non sicuro" :\)

(per default lo dice di tutti i siti non in HTTPS)

E infatti se usi HTTPS lo diventa...

 

--
Davide Bianchi


Lazza@ Davide Bianchi Di Lazza - postato il 20/11/2018 19:41 - rispondi

E infatti se usi HTTPS lo diventa...

Non è che per caso ti sei dimenticato la regoletta su htaccess?

A me dà la versione HTTP liscia senza ridirezionarmi.

 

--
Lazza


Davide Bianchi@ Lazza Di Davide Bianchi - postato il 21/11/2018 16:33 - rispondi

A me dà la versione HTTP liscia senza ridirezionarmi.

Non ci sono redirezioni al momento. Ed e' voluto non e' dimenticanza.

 

 

--
Davide Bianchi


Anonymous coward@ Davide Bianchi Di Anonymous coward - postato il 21/11/2018 09:44 - rispondi

E infatti se usi HTTPS lo diventa...

Perché non metti il redirect verso https di default? C'è qualche motivo specifico o è solo in fondo alla to-do list?

 

 

--
Anonymous coward


Davide Bianchi@ Anonymous coward Di Davide Bianchi - postato il 21/11/2018 16:34 - rispondi

Perché non metti il redirect verso https di default?

Perche' senno' tutto va' verso 'www.soft-land.org' e non verso altri siti. Voglio modificare il cms in modo da usare un singolo certificato invece di una pletora ma...

 

 

 

 

--
Davide Bianchi


trekfan1@ Davide Bianchi Di trekfan1 - postato il 21/11/2018 15:56 - rispondi

 

Ironicamente, secondo Chrome soft-land è un sito "non sicuro" :\)

(per default lo dice di tutti i siti non in HTTPS)

E infatti se usi HTTPS lo diventa...

 

Però se si usa il feed rss non viene usato https ma http

 

--
trekfan1


Luca Bertoncello Di Luca Bertoncello - postato il 21/11/2018 08:32 - rispondi

Perche' non importa quanto sei veloce, non puoi fare accesso dal Peru', dalla Cina e dalla Germania distanza di 5 minuti.

Babbo Natale ce la fa senza problemi... ;\)

--
Luca Bertoncello


Nik Di Nik - postato il 22/11/2018 18:29 - rispondi

Non so se è più agghiacciante l'avvenimento raccontato in sé oppure il fatto che non mi sono per nulla stupito di tutto ciò...

--
Se striscia fulmina, se svolazza l'ammazza


11 messaggi posta messaggio

Precedente Successivo


Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.


Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gojira