skip to main | skip to sidebar
34 commenti

Usare Google per “violare” un sito militare

Leggere il contenuto riservato di Aepubs.army.mil? No problem, ci pensa Google


Segnalazione bizzarra su Twitter da parte di Mikko Hypponen: il sito Aepubs.army.mil, se visitato con un browser, dice “We are sorry but you are not authorized to view this web site. You do not have permission to view the web site from the Internet address of your Web browser”. Senza autorizzazione non si entra, insomma.

Ma basta andare in Google e digitare site:aepubs.army.mil ed emergono circa 2300 documenti PDF consultabili (come questo) e pagine accessibili, come questa. E c'è anche la cache di Google.

Qualche esempio, giusto per confermare che non sto scherzando e prima che qualcuno si svegli e metta le cose a posto:





Congratulazioni a tutti gli interessati. È bello sapere di essere in buone mani.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (34)
Semplicemente dei fenomeni.....

SHL
Mondiale! Adesso pare che abbiano buttato giu` tutto il sito, ma la cache di Google c'e` ancora... :P
"Ma basta andare in Google e digitare site:aepubs.army.mil"

E non credo che sia l'unico sito affetto da questo problemino ;)
Non ho capito, la dir che linki si chiama pdfpubs, Google arriva solo lì o si spidera tutto il sito in barba alle policy?
Non ho capito (o almeno faccio finta di non capire) perché diffondi una simile notizia invece di avvisare i diretti responsabili.

E' come se io trovassi le tue chiavi di case e invece di chiamarti per restituirtele andassi in piazza a dire a tutti "ehi! ho le chiavi di casa di un tizio! e per farvi vedere che è vero ora vi porto tutti a casa sua!!"
Regolamento interno:
PROHIBITED TRANSACTIONS
h. Buying kitchens costing more than €15,000 (excluding tax). AHAHAH!!!

Fantastico....!!!! :)
Vedi? Potrei essere io, a gestire 'sta roba.
Ma magari andrei anche peggio.
Anzi, sicuramente.
Ammesso che non sia un fake (e spero proprio di si) il mio prof di Basi di Dati ci faceva esempi simili a lezione usando Google per entrare nei database altrui sfruttando falle come questa per farci vedere come NON fare errori stupidi.
A quanto pare i gestori di quel sito non hanno avuto la fortuna di avere un prof come il mio XD
Non ho capito (o almeno faccio finta di non capire) perché diffondi una simile notizia invece di avvisare i diretti responsabili.

Primo: è inutile comunicare privatamente quello che è già spiattellato su tutta Internet. Stalla, buoi scappati, ecc.

Secondo: di preciso cosa avrei dovuto fare, secondo te? "Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...".
D'altro canto, con un certificato di sicurezza non valido, cosa possiamo aspettarci?
""Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...". "

"E come fa, se sono riservati?"

"Eh, basta scrivere in Google site:aepubs.army.mil e compaiono i link diretti, e sono leggibili"

"Come ha avuto queste informazioni?"

"Me lo ha detto mio cuggi... ehm, lo ha scoperto Mikko Hypponen"

"L'ex pilota di Formula 1 !?"

"Ehm, no... quello è Raikkonen..."

"Dev'essere un sodale di Assange. Mandiamo un paio di MIB a rapirlo, dove sta?"

"Ma no, guardi, lavora per F-Secure, si occupano di sicurezza, fanno gli antivirus..."

"Ce l'ho a video. Con quei capelli, è sicuramente un sodale di Assange. Mandiamo una cinquantina di MIB a rapirlo, dove sta?"

"click!"
Mi sa che presto a Ramstein cambieranno responsabile della sicurezza
muahahahah...Fantastico
Diavolo di un Google...

Succede anche con le pagine di alcuni forum, dove basta ricercare una parola chiave di cui si sospetta l'esistenza all'interno di un forum chiuso, et voilà... l'indicizzazione delle pagine del forum chiuso sono spiattellate sul monitor e consultabili quasi a piacere...
Or ora mi sovviene un pensiero...

Che per caso gli sciacomicari, ufologari, truthisti, nibiruisti, mayaNi e Giacobbi vari abbiano approfittato di questa colossale svista?

Noi di Boyager crediamo di no. Non sono abbastanza svegli...

Sospetto che, da qualche parte di Sanremo, ci sia qualche calvo ricercatore indipendente (della forma fisica persa) che si starà mangiando le mani...
A questo punto non posso esimermi dal citare la Sora Lella:

"ANNAMO BBENE, ANNAMO!!!"
Beh, il certificato non valido potrebbe essere semplicemente dovuto al fatto che è autofirmato. Se mi creo un certificato SSL per il mio server SSH non lo faccio certificare da un'autorità di certificazione e per questo risulta non valido...
Sempre se ho capito bene come funziona SSL...
Mi ricorda tanto quando Katherine Solomon accede a dei file segreti nel libro "Il simbolo perduto" di Dan Brown.
Qualcuno là dentro si è stufato di leggere l'howto di Apache dopo le prime 10 pagine... La cartella pdfpubs è protetta:

https://aepubs.army.mil/pdfpubs/

ma è possibile accedere ai file direttamente se se ne conosce il nome.
Fantastico!
@il Lupo della Luna:
Esatto, a parte che SSH non c'entra niente (è una cosa abbastanza diversa, ma magari hai semplicemente sbagliato a scrivere?).

Usare un certificato autofirmato può anche essere la scelta adatta, e nei casi di servizi sicuri non aperti al pubblico è anche pratica comune, sia perché può scoraggiare eventuali visitatori occasionali (chi sa dove deve andare i due click in più li fa senza problemi), ma soprattutto perché annulla la possibilità di essere vittime collaterali di attacchi alle autorità certificanti.
Anche se vedendo la clamorosa falla che hanno lasciato mi sembra difficile che siano passati attraverso queste stesse valutazioni.
Wow

Che interessante/sconvolgente segnalazione.
Chiunque può accedere a dati sensibili e magari privati.

Speriamo risolvano al più presto!
Quasi peggio di Italia.it....
Nel 2008 scoprii che aveva questo problema (o meglio un problema molto simile, meno "palese" di questo) il sito dell'autore... di un libro di informatica forense for dummies. FACEPALM! Ora ha turato la falla ma resta comunque un ironico EPIC FAIL...
Ancora non se ne sono accorti?!?!?!
Tukler: infatti è un errore di battitura, SSH sta per SSL :D
Curioso... cercando "chemtrails" non trova nemmeno un documento... maledetti Men in Black! ^__^
La cartella pdfpubs è protetta:

https://aepubs.army.mil/pdfpubs/

ma è possibile accedere ai file direttamente se se ne conosce il nome.


è un errore di progettazione molto comune, non c'è molto da dire: vuol dire che chi sviluppa applicativi Web non conosce bene come funziona il Web!
Ci sono anche applicativi della pubblica amministrazione che funzionano in questo modo (e non c'è da stare molto allegri, sinceramente).

Resta comunque da capire come abbia fatto google ad indicizzare il contenuto della cartella. Probabilmente alcune pagine che puntano ai file "protetti" sono accessibili liberamente ancora adesso, oppure, in un certo momento della loro esistenza, lo sono state.
Resta comunque da capire come abbia fatto google ad indicizzare il contenuto della cartella. Probabilmente alcune pagine che puntano ai file "protetti" sono accessibili liberamente ancora adesso, oppure, in un certo momento della loro esistenza, lo sono state.

Credo che sia ancora più semplice: le varie pagine sono molto linkate tra loro, basta cercare un url di una pagina html qualsiasi per vedere che è linkata da diverse altre pagine.
Probabilmente è bastato che qualcuno dall'esterno linkasse una pagina interna, per far sì che lo spider partisse a seguire tutti i percorsi che lo hanno portato ad indicizzare tutti questi documenti.
C'è anche una ipotesi MOLTO peggiore che mi è venuta in mente ora. Se qualcuno avesse attivato "Google ricerca personalizzata" sul sito? O_o

Comunque è RIDICOLO che si possano raggiungere i singoli documenti conoscendo l'URL. Insomma sono le basi della configurazione dei webserver. Tra l'altro se non ricordo male, l'impostazione standard è rifiutare l'accesso in mancanza di una regola, il che significa che è stata modificata APPOSTA..
C'è anche una ipotesi MOLTO peggiore che mi è venuta in mente ora. Se qualcuno avesse attivato "Google ricerca personalizzata" sul sito? O_o

Non credo, per usarla avrebbero dovuto dare accesso a Google ad una pagina da cui partire per raggiungere l'intero contenuto del sito, e tra le pagine indicizzate da Google non mi sembra che esista nessuna pagina di questo tipo.
Inoltre, ci sono pagine che esistono ma Google non ha indicizzato: ad esempio Google conosce
https://aepubs.army.mil/pdfpubs/CPL03.htm
e https://aepubs.army.mil/pdfpubs/CPL05.htm, ma esiste anche https://aepubs.army.mil/pdfpubs/CPL04.htm che però non è indicizzata da Google.

Inoltre, sembra che concedano l'accesso sulla base dell'indirizzo IP (anche se ci sarebbe da capire come quella sezione si intreccia con l'autenticazione asp tramite account AKO), quindi sarebbe difficile lasciare accesso allo spider di Google, che non sai esattamente da quale IP possa arrivare. Sicuramente non concedono l'accesso sulla base dello User Agent dello spider. C'è anche da dire che se lo spider di Google avesse avuto accesso, non dovrebbe risultare questa pagina nella cache.
"Primo: è inutile comunicare privatamente quello che è già spiattellato su tutta Internet. Stalla, buoi scappati, ecc."

"Secondo: di preciso cosa avrei dovuto fare, secondo te? "Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...". "

Per me:
Una cosa è avvisare.
Una cosa è non fare niente.
Una cosa è non avvisare, ma sparare informazioni riservate ai quattro venti.

Cioé, non si può dire "è bello sapere di essere in buone mani" e contemporaneamente essere parte del problema di sicurezza.
Cioé, non si può dire "è bello sapere di essere in buone mani" e contemporaneamente essere parte del problema di sicurezza.

Forse non hai considerato che spesso l'unico modo per far capire che il problema è serio è renderlo pubblico. Altrimenti prevale la mentalità della security through obscurity.

Esempio di questi mesi: Firesheep vs Twitter e Facebook. I social network si sono schiodati dalla loro inerzia solo quando la loro security è stata crivellata da un plug-in usabile da chiunque.
Nooo!!! Paolo, da quando usi Chrome???
Scusate ma questa è la tecnica chiamata Goggle-hack vecchia come la terra, non è una novità, gli poeratori logici fanno il loro lavoro, quindi se il file è stato catalogato da Google, significa che utilizzano dei server collegati alla Rete, se avessero avuto una Intranet non connessa ad Internet questo non sarebbe accaduto. Molto semplice.