skip to main | skip to sidebar
27 commenti

Vuoi scaricare “Mission: Impossible” pirata? Il Comune di Campofiorito ospita le istruzioni

In sintesi, come ormai consueto, segnalo qui alcune violazioni dei siti di scuole e comuni italiani.

Liceo Avogadro di Biella (violato presso http://www.liceoavogadrobiella.gov.it/joomla/images/jdownloads/screenshots/albanian.gif)

Comune di Paola (violato presso http://www.comune.paola.cs.it/images/jdownloads/screenshots/pz.gif)

Il Comune di Campofiorito ospita addirittura le istruzioni per scaricare l'ultimo film della serie Mission: Impossible, come potete vedere qui accanto (presso http://www.comune.campofiorito.pa.it/index.php?option=com_k2&view=itemlist&task=user&id=5819). Complimenti.

Fonti: Zone-h.org (1; 2) e un lettore che mantengo anonimo.

Alcuni di questi siti sono in questo stato da vari giorni. È andata bene che gli intrusi non ci hanno messo immagini pedopornografiche per poi segnalarli alla polizia. Li avvisate voi?
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (27)
Ma sono gestiti TUTTI dalla stessa azienda e tutti allo stesso modo?!? Possibile che abbiano tutti questi siti comunali abbiano queste lacune di sicurezza?!?...
Sbaglio o parecchi di questi attacchi risiedono sempre in /images/jdownloads? A questo punto sono dell'idea che sia un problema di qualche cms (joomla?).
Mi sa che quel film non è un caso isolato...
con una semplice ricerca, con google, di questo tipo [site:comune.campofiorito.pa.it film] escono 93 risultati (nel dubbio ho fatto uno screenshot).
La cosa mi sembra un po' più grave di una semplice disattenzione ed il rischio legale per loro è elevato
Se non altro potrebbero rischiare la chiusura d'ufficio del sito...
Ciao Paolo, il primo link ora dà errore 404, direi che almeno quello è stato sistemato!
se ne parlava con federico uno o due post fa... :)
Campo...fiorito di download. Ma bisogna capire, da una breve ricerca NON ho trovato cinema a Campofiorito e dintorni. Potrebbe essere giustificato lo scaricamento di film, in questo caso?
Attivissimo, scambiare spam per hacking è veramente imbarazzante.
I primi due casi non posso "analizzarli", è solo un puntamento ad un immagine sul server e potrebbero benissimo essere degli avatar di utenti, il terzo è invece comunissimo spam [è uno spambot che si è registrato riempendo le info con quella roba].
Fai informazione, non disinformazione...
... e decrementando il numero del parametro "id" nella url si trovano tante altre pagine di spam!
non era necessario mantenermi anonimo,comunque...
I primi due casi non posso "analizzarli", è solo un puntamento ad un immagine sul server e potrebbero benissimo essere degli avatar di utenti

si tratta di una violazione per davvero, ma il cui livello di gravità è quasi zero. se ne discuteva nell'articolo precedente.

il terzo è invece comunissimo spam [è uno spambot che si è registrato riempendo le info con quella roba].
Fai informazione, non disinformazione...


Messo lì fa un certo effetto, ma sembra proprio del banalissimo spam.

Anche per me è una delusione, abbiamo beccato uno script kiddie ed uno spambot, neanche repubblica.it ci avrebbe scritto un articolo.
Gufobubo,

Attivissimo, scambiare spam per hacking è veramente imbarazzante.

Considerato che non ho parlato di hacking, ma di dafacement, non vedo perché dovrei imbarazzarmi :-)

I primi due casi non posso "analizzarli", è solo un puntamento ad un immagine sul server e potrebbero benissimo essere degli avatar di utenti,

Su questo punto già altri ti hanno spiegato che sei in errore.


il terzo è invece comunissimo spam [è uno spambot che si è registrato riempendo le info con quella roba].

Appunto. Come mai non c'è nessun che vigila sugli spambot e ne rimuove il contenuto? Con quale criterio il sito offre accesso agli spambot?

Considera che il sito, formalmente, sta pubblicando le istruzioni per commettere un reato. È andata bene che è M:I e non è roba pedopornografica.



Federico,

abbiamo beccato uno script kiddie ed uno spambot, neanche repubblica.it ci avrebbe scritto un articolo.

Infatti non ci ho scritto un articolo: ho scritto soltanto 106 parole di rapida segnalazione, come faccio spesso.
dafacement --> defacement, ovviamente
@Federico
si tratta di una violazione per davvero, ma il cui livello di gravità è quasi zero. se ne discuteva nell'articolo precedente.
...tranne poi trovarsi la postale alle porte per avere ospitato del materiale illegale...
Minimizzare o banalizzare questi incidenti significa IMHO non comprendere la gravita' del problema.

Stiamo parlando di siti istituzionali manutenuti con soldi dei cittadini (miei e presumo anche di una parte di chi commenta) il cui scopo e' di fornire un servizio al cittadino.

Probabilmente per avere un riscontro sul giornale bisognerebbe mettere la foto imbarazzante di un politico. A quel punto son sicuro che le Forze dell'Ordine interverrebbero (per pressione del politico, ça va sans dire) e dovremmo sentire le solite lagne degli amministratori sulle ristrettezze di fondi.

Faccio e pubblico settimanalmente analisi dei sito delle PA e sciatterie di questo tipo ne vedo da lungo tempo.
Non c'è il rischio che magari la prossima immagine sia una di quelle "alla snapchat" e che venga messa in luoghi meno nascosti?
Potrebbe essere una nuova frontiera dello "sputt******to digitale"
Paolo, con tutto il rispetto, stai menando il can per l'aia.

Prima cosa, il termine violazione è errato. Non è stato violato proprio niente. Quindi come detto, faciamo chiarezza che di analfabeti informatici ce ne sono fin troppi.
Anche il tag "defacement" è usato improriamente.
Credo tu li abbia usati in buona fede e non per sensazionalismo. [Anche se il titolo...]

Sulle tue domande c'è poco da rispondere: se hai tempo e voglia puoi trovare anche dei porno su youtube [per ore o giorni prima che vengano rimossi].
Inoltre se c'è incuria redazionale su un sito non puoi comunque parlare di violazione o indicare, come qualcuno ha fatto nei commenti, una piattaforma [joomla] come poco sicura.

Infine, visto che si parla di "ospitare azioni illegali" , ti invito a scaricare realmente mission impossible seguendo quelle istruzioni.
Se ci riesci hai vinto.
La verità è che spam. Così come le mail "enlarge your penis" non ti allungano proprio nulla, quella roba non ti fa scaricare proprio niente.
Perchè lo fanno? Basta saperne un po' di SEO e dell'algoritmo di Google.

Quindi non c'è nessuna notizia, nessuna violazione e nessun reale problema. Solo incuria redazionale che potevi segnalare invece che scriverne un articolo altisonante.




@GufoBubo

Ci sono due "problemi" diversi (ma entrambi banali), il primo è lo spam e sinceramente creare un articolo intorno allo spam mi sembra poco professionale.
Come dici tu anche su youtube c'è spam, video ingannevoli con click verso siti in abbonamento, pornografia, etc.

Il secondo problema è davvero un plugin jdownloads per joomla non aggiornato: http://www.jdownloads.com/index.php/component/content/article.html?id=231:urgent-security-update-for-19-series
ed esiste un exploit che permette ad un utente non privilegiato di (udite udite!) fare l'upload di un file in una directory non visibile dalla home page.

Security bug - Yes.
Violazione - Diamo per buono il termine.
Gravità - Prossima allo zero.
Defacement - Ma scherziamo?

Minimizzare o banalizzare questi incidenti significa IMHO non comprendere la gravita' del problema.

Ci ha già provato Guido a convincermi della gravità del problema, senza successo :)

...tranne poi trovarsi la postale alle porte per avere ospitato del materiale illegale...

ma se carichi video illegali su youtube, la polizia postale va da Sergei & Page, o va a casa tua?

Il riassunto di questo articolo: un falso scoop riuscito male
@GufoBubo e Federico
Quindi voi ritenete che un server su cui si riesce a pubblicare un file su una directory in modo non autorizzato sia roba da poco.

Interessante, molto interessante.
Federico,

Il riassunto di questo articolo: un falso scoop riuscito male

Nessuno scoop. Solo cento parole di segnalazione. Ne stai spendendo di più tu a far polemica. Hai espresso il tuo disaccordo, ho pubblicato le tue osservazion; adesso basta, per favore.
GufoBubo,

Solo incuria redazionale che potevi segnalare invece che scriverne un articolo altisonante.

Cento parole non sono un "articolo altisonante". Quello che ho scritto a Fefe vale anche per te.
@Federico
Ci ha già provato Guido a convincermi della gravità del problema, senza successo :)
Io posso cercare di convincerti che il rosso sia piu' bello del verde, ma non che la gravita' esiste... Nel senso una vulnerabilita' e' _sempre_ qualcosa di cui preoccuparsi e correggere a prescindere dal fatto che sia poco o tanto grave. Soprattutto quando questa e' stata effettivamente sfruttata per defacciarti il sito...
ma se carichi video illegali su youtube, la polizia postale va da Sergei & Page, o va a casa tua?
c'e' una piccola differenza, yt non e' responsabile di quanto uploadano gli utenti in quanto su questo si basa. Un bug su un server dove non e' previsto che chicchessia carichi niente e' un po' diverso... Il server e' tuo e tu sei responsabile che sia configurato a dovere e che non venga usato come "base"... Devi dimostrare che il server ti e' stato bucato e devi spiegare come mai ti avevano avvisato che il server era bucato e non hai fatto niente... (tu impersonale beninteso)
@Guido
Soprattutto quando questa e' stata effettivamente sfruttata per defacciarti il sito...

il termine defacement è usato in modo improprio, quei ragazzini non sarebbero in grado di realizzare un vero defacement. è questo che contesto e che non mi piace.

yt non e' responsabile di quanto uploadano gli utenti in quanto su questo si basa

questo è quello che distingue il web dal web 2.0 - gli utenti possono interagire col sito e sono responsabili di ciò che fanno. Poi che la polizia postale non l'abbia capito e ci abbia provato per davvero a far chiudere yt è sacrosanto, ma le regole che valgono per yt valgono anche per chiunque altro.

@Paolo
Sono d'accordo, non mi interessa fare polemiche, ma se sono qui a commentare è perché sono un lettore da lungo tempo e: 1. ci tengo alla corretta informazione 2. ci tengo a confrontarmi sui temi che mi stanno a cuore. Grazie
Che poi per evitare 'sti spambot basta iscriversi ad Akismet...
@Federico
- spetta -
youtube e' una piattaforma dove gli utenti caricano del materiale (video di solito), e per questo non puo' essere ritenuto direttamente responsabile del materiale caricato, ma semmai della non tempestiva rimozione a seguito di segnalazione

Il portale di una scuola, non avendo upload da parte degli utenti non ha questa 'scusante' - inoltre puoi si' spiegare che c'e' stata una violazione ma devi dimostrare che e' avvenuta prima che fosse nota, altrimenti rimane tua responsabilita' correggerla - inoltre la responsabilita' di rimuovere eventuali contenuti illegali su segnalazione rimane comunque tua...
youtube e' una piattaforma dove gli utenti caricano del materiale (video di solito), e per questo non puo' essere ritenuto direttamente responsabile del materiale caricato

youtube è un sito come tutti gli altri e deve (dovrebbe) seguire le regole come tutti gli altri - anche se avendo più avvocati può avvicinarsi ai limiti dell'illegalità con più disinvoltura - ma non sta scritto da nessuna parte che lui può accettare video e commenti dagli utenti, mentre il sito internet che gira sul server nel tuo garage no.

La svolta è stato il Digital Millennium Copyright Act del 1998 - seguito da analoghe direttive e leggi in Europa.
Questo ha portato qualche paradosso, è bizzarro che gli incassi del materiale pirata vadano tutti a youtube, mentre le responsabilità vadano tutte agli utenti. Ma ha anche permesso la nascita del web 2.0 e dei siti social.

Online hosts are not liable for the illegal activity, or information placed on its systems by a user, so long as the online host does not have "actual knowledge" of the activity or information. Upon obtaining such knowledge, the online host must act expeditiously to remove or to disable access to the information.

Se hanno jdownloads installato è perché accettano upload da users. Il fatto che l'user in questione non fosse probabilmente autorizzato non cambia di molto lo scenario.
@Federico
essendo yt una piattaforma privata, tu accetti i termini di servizio (nella fattispecie: 4.3 L'utente accetta di essere l'unico responsabile (nei confronti di YouTube, e nei confronti di terzi) per ogni attività che avvenga tramite il proprio account YouTube.)
C'e' una sentenza a riguardo (che trovo solo linkata e non direttamente) che in soldoni esonera la piattaforma yt dalla responsabilita' di quanto caricato dagli utenti cito: se non è effettivamente a conoscenza del fatto che essi sono illeciti.
Questo perche' e' espressamente previsto che gli utenti carichino contenuti. Nel caso che dici tu, non e' previsto che un utente uploadi che ne so l'homepage del sito, se non attraverso un "baco" - Quindi se un utente mette un'immagine pedo-porno nel profilo vale quanto sopra, e comunque l'Ente e' stato avvisato che ci sono dei contenuti illeciti e non ha preso provvedimenti - quindi in ogni caso e una condotta negligente...