skip to main | skip to sidebar
22 commenti

Siti di scuole e di comuni italiani violati, nuova infornata

Zone-h.org segnala che i seguenti siti italiani di scuole e comuni sono stati violati e ospitano in molti casi scritte d'odio da quattro o più giorni. Evidentemente i responsabili della sicurezza (se esistono) hanno qualche problema di attenzione.

Ho spezzato intenzionalmente i link alle violazioni per evitare di finire in qualche lista nera per averli linkati esplicitamente.

Istituto Comprensivo Statale “C. Gennari” di Maratea violato presso http://www.comprensivomaratea.gov.it/ joomla/images/jdownloads/screenshots/nyet.gif.

Istituto Comprensivo Statate “S.G. Bosco” di Molfetta, violato presso http://www.icsbosco.gov.it/ iks.gif.

Comune di Tavoleto violato presso http://www.comune.tavoleto.pu.it/ x.htm.

Comune di Montecopiolo violato presso http://www.comune.montecopiolo.pu.it/ x.htm.

Comune di Mercatino Conca violato presso http://www.comune.mercatinoconca.pu.it/ x.htm.

Comune di Monte Cerignone violato presso http://www.comune.montecerignone.pu.it/ x.htm.

Comune di Montegrimano Terme violato presso http://www.comune.montegrimanoterme.pu.it/ x.htm.

Comune di Isola del Piano violato presso http://www.comune.isola-del-piano.ps.it/ x.htm.

Comune di Carpegna violato presso http://civitas.comune.carpegna.pu.it/ x.htm.

Li avvisate voi?
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
Ma come funziona il defacement? i aspetterei che chi accede al sito veda la pagina incriminata e non il sito istituzionale.
Invece ad es, il sito di Carpegna è funzionante regolarmente e non capisco come si fa a raggiungere dalla home, quindi in un utilizzo ordinario, la pagina incriminata.

Hanno sistemato il sito, o sono io che non capisco?
@Crazy: credo che la sostanza sia più nella violabilità del sito, non nel danno che si vuole arrecare.
Ps: delle label del menù nel sito di Carpegna (Home| Gli eventi della vita | Il Comune | Il territorio | Turismo | News | Contatti | Mappa del Sito | Links Utili |)... così a naso non ne va una.
Eh... vabbè... non va una sega su quel sito! Chissà se prima funzionava...
A certi commenti me spaventano un po'. Senza offesa per nessuno, ma credo che la gravità della cosa sia poco chiara.

Non è che un attacco deve per forza nuclearizzare tutto il sito o sostituirne la home: già solo trovare una pagina estranea, anche se non è linkata, DEVE essere motivo di allarme rosso immediato.

Se non capite perché, provate a trasporre la cosa nel vostro quotidiano: immaginate di tornare a casa dopo il lavoro e trovare tutto come l'avete lasciato, meno un soprammobile che mai avete visto in vita vostra, apparentemente comparso dal nulla mentre eravate fuori. In casa abitate solo voi e solo voi avete le chiavi. Non vi spaventereste? Io penso proprio di sì. Sopratutto se quel soprammobile presentasse sopra chiari riferimenti ad una organizzazione di "brutta gente" (che siano terroristi, fanatici religiosi, estremisti politici o fuori di testa assortiti poco importa).

Ecco, così è come bisognerebbe vedere attacchi del genere. Con l'aggravante del fatto che sono siti istituzionali.
(ho chiaramente messo il "me" nel posto sbagliato nel mio scorso commento, ops!)
... mi mancava :)
@Tommy
il problema non e' la gente comune che sottovaluta il problema, il problema e' quando quelli che gestiscono questi domini $CHE_DOVREBBERO_ESSERE_SYSADMIN_MA_NON_LO_SONO se ne disinteressano totalmente...
Hanno sistemato il sito, o sono io che non capisco?

Semplicemente il termine defeacement è usato a sproposito.
Si tratta di siti che permettono a determinati utenti di fare upload - probabilmente l'utente che ha effettuato l'upload non doveva essere autorizzato e questo lo qualifica comunque come "violazione" ma la parola defeacement è proprio fuori luogo.

Ho già provato a spiegare la cosa a Paolo.

immaginate di tornare a casa dopo il lavoro e trovare tutto come l'avete lasciato, meno un soprammobile che mai avete visto in vita vostra, apparentemente comparso dal nulla mentre eravate fuori

io ogni tanto nel mio giardino trovo delle palline da tennis, compaiono dal nulla mentre ero fuori, qui intorno però ci sono sempre dei ragazzini che giocano, mi devo allarmare?
il problema e' quando quelli che gestiscono questi domini $CHE_DOVREBBERO_ESSERE_SYSADMIN_MA_NON_LO_SONO se ne disinteressano totalmente...
In uno dei precedenti articoli di questo... "filone" (?), ci fu un commento molto interessante in merito; sfortunatamente non ne ricordo l'autore, ma il succo era che nelle scuole la gestione di questi siti viene affidata a qualche professore (e in certi casi qualche alunno tra i più grandi) volenteroso, che ci lavora quasi sempre a gratis e per pura passione. Cambiano i professori, gli studenti passano oltre, il sito però resta lì... e resta abbandonato a sé stesso. Manutenuto da nessuno, alla mercé di pigs&dogs. La colpa quindi spesso non è del sysadmin... ma della dirigenza o chi per essa, che ha fatto in modo che non vi fosse affatto un vero sysadmin, né prima ma sopratutto dopo.

Quando alla questione delle "persone comuni", io sono stato uno di quei "volenterosi" (non solo a scuola, ma sopratutto sul lavoro) e ti assicuro che se c'è da chiedere di restare lì un'ora in più (manco pagata, eh) la risposta da parte di chi sta in alto (ovverosia persone comuni, nel senso di non addetti ai lavori, ma ahimé chi sa fa e chi non sa dirige...) è sempre stata del tipo "se funziona vuol dire che va bene così, non toccare, non gli serve niente". Perché le persone comuni ragionano così.

Ci va quindi una rieducazione anche per i "non esperti", perché spesso anche loro concorrono al disastro. Anche più del sysadmin (se c'è!).
Sono siti della mia provincia! Vedi che ogni tanto qualcuno ci considera :-)
PS: Mi aggrego a quelli che non capiscono dove stia il defacement. Da una rapida occhiata il comune di Carpegna pare più che altro non funzionare. Tra l'altro da un messaggio d'errore che mostra dettagli sulla piattaforma di sviluppo dell'applicazione (.NET 1.1).
@Tommy
ci fu un commento molto interessante in merito; sfortunatamente non ne ricordo l'autore

io ;)

resta abbandonato a sé stesso. Manutenuto da nessuno, alla mercé di pigs&dogs
&lizards? Mi sa che siamo entrambi lettori di un certo sito :)

Ci va quindi una rieducazione anche per i "non esperti", perché spesso anche loro concorrono al disastro. Anche più del sysadmin (se c'è!).

io son dell'idea che un sysadmin ci vuole e che se c'e' chi pensa che non serve la colpa e' solo dei sistemi operativi "looser friendly" che non fanno altro che instupidire gli utenti e fanno credere che chiunque doppiocliccando a casaccio possano gestire un server...
@Federico
probabilmente l'utente che ha effettuato l'upload non doveva essere autorizzato e questo lo qualifica comunque come "violazione" ma la parola defeacement è proprio fuori luogo

posso essere d'accordo sulla terminologia in quanto defacement si riferisce ad un particolare tipo di violazione, inoltre un'immagine uploadata non puo' essere considerata tale. Rimane il fatto che una violazione c'e' stata e che qualcuno ha fatto qualcosa che non doveva poter fare e questo e' male.
@Federico(2)
io ogni tanto nel mio giardino trovo delle palline da tennis, compaiono dal nulla mentre ero fuori, qui intorno però ci sono sempre dei ragazzini che giocano, mi devo allarmare?
pensa se invece di trovarle in giardino tu le trovassi in un posto dove non possono arrivare dall'alto ma solo se qualcuno e' potuto entrare in qualche modo...
Il bello è che basterebbe usare un altro cms al posto di quel colabrodo sfondato di joomla, ma continuo a non capire perché si usi in tutti questi siti "pubblici" e per di più nella stessa versione.

E guardate che è ugualmente grave (anzi è peggio) il fatto che non sia stata violata la homepage, perché l'intrusione non è subito evidente.
Adesso ho capito.
Qualcuno ha fatto qualcosa che non doveva riuscire a fare.
Se non fosse per la natura del messaggio penserei a gewnte della stessa scuola o dello stesso comune che hannno deciso di fare una cazz..
Anche perchè violare il sito del comune di Carpegna, sai che utilità per la lotta palestinese, il terrorismo o chi per esso!!!

E' però vero che questo fatto è un segnale che molti siti sono affidati a volontari e volenterosi, con i risultati che vediamo... e che manca totalmente una cultura della sicurezza.
hemm rileggendo il mio commento a federico ho notato che mi sono espresso peggio di male...
la frase incriminata e' questa: un'immagine uploadata non puo' essere considerata tale.
tale si riferisce a "defacement" e e non ad "immagine" come la struttura della frase lascerebbe presupporre...
@Lupo
Il bello è che basterebbe usare un altro cms al posto di quel colabrodo sfondato di joomla, ma continuo a non capire perché si usi in tutti questi siti "pubblici" e per di più nella stessa versione.
potrebbe essere la stessa azienda che ha un'installazione standard e quindi "fotocopia" da una scuola all'altra (fotocopiando ovviamente bug e configurazioni sballate)

potrebbe essere una scuola che trova carino il cms di un'altra scuola e quindi lo copia (idem come sopra)

ma quello che in realta' temo sia piu' realistico potrebbe essere il ministero che impone un certo standard che spiegherebbe l'elevato numero di scuole bucate allo stesso modo e spiega come mai tutti avevano la stessa versione dello stesso cms...

poi potrebbe essere anche un banale caso...
@Guido
io ;)
Ops... beh, spero di non averlo riportato in modo inesatto almeno!

Mi sa che siamo entrambi lettori di un certo sito :)
Ne ho avuto il sentore vedendo quella... variabile, chiamiamola così, e ho provato a buttare l'esca per vedere se coglievi il riferimento :)

io son dell'idea che un sysadmin ci vuole e che se c'e' chi pensa che non serve la colpa e' solo dei sistemi operativi "looser friendly" che non fanno altro che instupidire gli utenti e fanno credere che chiunque doppiocliccando a casaccio possano gestire un server...
Pienamente d'accordo. Ma dato che chi viene instupidito e chi ha in mano i cordoni della borsa di solito fanno parte dello stesso insieme (e rientrano anche in quello delle "persone comuni" di cui sopra, sempre inteso come "non addetti ai lavori")... tutto torna, ecco.

Instilla usando adeguati mezzi di rieducazione (corsi di formazione, presentazioni, meeting, nodosi bastoni di vite...) quel briciolo di consapevolezza sui rischi del "lassismo digitale" alla gente comune, e il più è fatto. Poi c'è tutto il resto, che è un gran bel "tutto", ma almeno eliminare le idiozie più ovvie ed evitabili...
@Tommy
Ops... beh, spero di non averlo riportato in modo inesatto almeno!
non ti preoccupare :) hai colto pienamente il senso del mio intervento
Ne ho avuto il sentore vedendo quella... variabile, chiamiamola così, e ho provato a buttare l'esca per vedere se coglievi il riferimento :)

Beh sai lo stile di $MORBIDA_TERRA e' inconfondibile, poi se leggo giusto il tuo nickname sei anche motociclista...
a dato che chi viene instupidito e chi ha in mano i cordoni della borsa di solito fanno parte dello stesso insieme
beh sai se un manager doppiocliccando a casaccio riesce ad aprire il browser (magari dopo 3 tentativi) pensa "se ci riesco io ci riesce chiunque" e prende il primo fesso che capita e lo mette ad amministrare un "server" windows... Una persona piu' competente o viene scartata dal management (troppo costoso non ci serve) - oppure si scarta da sé quando vede che lo stipendio e' pagato in banane...Sempre su morbida-terra c'e' un commento molto interessante a riguardo
Instilla usando adeguati mezzi di rieducazione (corsi di formazione, presentazioni, meeting, nodosi bastoni di vite...) quel briciolo di consapevolezza sui rischi del "lassismo digitale"
finche' ci saranno produttori di computer che cercheranno di vendere pc come se fossero tostapane (e riuscendoci tra l'altro) penso che la cosa sia impossibile, ci saranno sempre password idiote, pc configurati alla cdc, gente che si zombifica il pc cliccando su un link (o aprendo un allegato( proveniente da una mail & co... Poi sicuramente saro' pessimista io, ma chi vuole informarsi su come non aprire il pc a p&d(&l) ha bizzeffe di siti che dicono le stesse cose. Chi non vuole e' inutile perderci tempo non vuole e non lo fa... Con uno che non vuole farlo non c'e' corso che tenga...
Il server in questo caso non c'entra, c'entra il cms configurato a cavolo...
@lupo
c'entra il cms configurato a cavolo...
magari non e' amministrato direttamente dal sysadmin, magari il sysadmin e' uno veramente competente che si e' accorto che il cms era configurato male ed ha avvertito chi di dovere ma non sono stati presi provvedimenti perche' magari la macchina e' solo hosted magari quello che vuoi, ma c'e' comunque qualcuno che avrebbe dovuto sapere fare qualcosa (chi ha configurato il cms) e non l'ha fatto/saputo fare...