Cerca nel blog

2006/10/25

Bucato il sito dell’Ordine dei Giornalisti

Sito dell'Ordine dei Giornalisti "bucato" da vandali. Ma si può bucare un colabrodo?


Questo articolo vi arriva grazie alle gentili donazioni di "hanteros" e "alberto.fal***".

Domenica scorsa (22 ottobre) il sito dell'Ordine dei Giornalisti, Odg.it, è stato "bloccato per alcune ore, a causa della comparsa di un messaggio di un’organizzazione straniera [...] sull’home page del sito è comparsa abusivamente una scritta in inglese, lanciata nella rete Internet da parte di una “Guard of Turkey and Islam”, diretta alla Francia", come riferisce una nota dell'Ordine.

Prima che parta la marea di indignazione e di orrore mediatico, vorrei chiarire un aspetto importante di questo attacco: è una vera schifezza, roba da dilettanti sfigati. L'Occidente non è in pericolo. E i dilettanti, qui, non sono soltanto gli aggressori, ma i responsabili del sito dell'Ordine.

La prima cosa che salta all'occhio in questa vicenda è la strana dinamica dell'attacco: perché prendersela con l'ordine dei giornalisti italiani, se la protesta degli aggressori è diretta alla Francia? Perché non attaccare l'ordine francese direttamente? Sembra un classico caso di "se la moglie ti fa arrabbiare, dai un calcio al cane".

E infatti è così: incredibilmente, il sito dell'Ordine dei Giornalisti usava Internet Information Server 4.0 su Windows NT4/98, stando ai dati di Netcraft. E' passato a IIS 6.0 su Windows Server 2003 il giorno dopo l'attacco, sempre secondo Netcraft.

Traduco: l'Ordine dei Giornalisti italiani usava un software obsoleto, fatiscente e noto come colabrodo sin dal suo esordio, ed ha aspettato che i buoi scappassero prima di decidersi a chiudere la stalla. Bucare IIS 4.0 non è una prodezza informatica: è sfondare una porta aperta; è come rubare caramelle a un bambino. Se questo è il meglio che la "Guard of Turkey and Islam" sa fare, possiamo dormire sonni tranquilli. Probabilmente il loro prossimo attacco si baserà sul celebre "virus albanese".

Intendiamoci: possono dormire sonni tranquilli coloro che prendono la sicurezza informatica sul serio, senza porgere il fianco agli aggressori, e non aspettano che succedano disastri prima di adottare misure adeguate. I vandali attaccano sempre i bersagli facili. Chi facilita loro il compito è irresponsabile come chi lascia la propria porta di casa spalancata, con l'argenteria bene in vista sul tavolo.

18 commenti:

aghost ha detto...

paolo, che il sito dell'Ordine dei Giornalsti sia stato craccato francamente non frega niente a nessuno. Un'azione inutile contro un'ente altrettanto inutile :)

Andrea Sacchini ha detto...

Paolo:

> [...] "...il sito dell'Ordine dei Giornalisti usava Internet Information Server 4.0 su Windows NT4/98..." [...]

[...] "...E' passato a IIS 6.0 su Windows Server 2003..." [...]

Come si suol dire: "dalla padella alla brace". Un server Apache che girasse su Linux no, eh? :-)

_Stefano_ ha detto...

" Traduco: l'Ordine dei Giornalisti italiani usava un software obsoleto, fatiscente e noto come colabrodo sin dal suo esordio, ed ha aspettato che i buoi scappassero prima di decidersi a chiudere la stalla. "


Sìsì... e secondo me ce ne sono parecchi di siti "a manovella" in Italia, sono certo che l'Odg non sia un caso isolato :)

Stefano

Anonimo ha detto...

...Come si suol dire: "dalla padella alla brace". Un server Apache che girasse su Linux no, eh? :-)...

No. IIS6 è sicuro e stabile come e meglio di Apache.
Oltretutto con un server Windows ci fai girare tutte le webapps che girano su Linux. Prova però su Mono a far girare ASP.NET 2.0
Inoltre, mi chiedo come si possa nel 2006 usare un sistema operativo con kernel monolitico già obsoleto nei primi anni '90...

StM ha detto...

Uau, un embrione di *utile* discussione Windows vs Linux! Mi mancava! ^_^

Andrea Sacchini ha detto...

> "No. IIS6 è sicuro e stabile come e meglio di Apache."

Mmh... sarà...

Federico Segrate ha detto...

è veramente troppo usare ancora Windows sui server..., in casa e ufficio ancora ancora, ma sui server proprio non ci sta

il sito della mia azienda è da una società dove nel contratto c'è la clausola che il sito debba essere su linux!!

StM ha detto...

E non accenna a fermarsi! ^_^

@federico segrate: le motivazioni di una tale clausola possono essere molteplici. La più banale: se sei specializzato nell'usare linux+apache, perché dovresti cambiare piattaforma? Se un cliente vuole windows, che si rivolga ad altri! E viceversa.

Poi, passatemi il paragone automobilistico... tanto lo fa la macchina, ma altrettanto lo deve fare il pilota.

Non incedo ulteriormente nel campo dei dubbi sull'opportunità di imbastire un'ennesima discussione windows vs linux, quando nello specifico caso il problema sono palesemente dei *pessimi piloti* (a partire dalla scelta del loro veicolo).

Anonimo ha detto...

[Quote]Inoltre, mi chiedo come si possa nel 2006 usare un sistema operativo con kernel monolitico già obsoleto nei primi anni '90...
[/Quote]

il kernel linux è si monolitico, ma permette il caricamento di un modulo anche durante l'esecuzione dello stesso

i kernel ibridi (windows per intenderci), invece, sono un compromesso basato su preconcetti che sono stati poi smentiti dai fatti

per informazioni: http://it.wikipedia.org/wiki/Kernel

Anonimo ha detto...

I kernel ibridi sono infinitamente più veloci di quelli monolitici. Leggi tu la Wikipedia. Poi che in Windows ci siano un sacco di programmini e vaccate caricate sopra è un altro conto.
E pensa, se sei sysadmin, quanto tempo ci metti a configurare un dominio in Apache e quanto ci metti a fare lo stesso in IIS6.
Oltretutto, non sopporto il ragionamento (ed è questo che mi fa incacchiare più di tutto) che IIS6 è una merda a priori. Andrea S., tu per quanto tempo hai usato IIS6? E per quanto Apache?
Hai mai avuto bisogno di sviluppare in .NET 2.0 (che non ha eguali) e di avere sulla stessa macchina un portale php? Come penseresti di cavartela? Con Mono? Quello si che fa schifo.
Niky

Melt ha detto...

[QUOTE]
I kernel ibridi sono infinitamente più veloci di quelli monolitici.
[/QUOTE]

non penso proprio che un kernel ibrido sia più veloce di un monolitico compilato con dentro solo quello che serve.

i kernel ibridi hanno il vantaggio di poter agganciare dei moduli non previsti al momento della compilazione.

il kernel linux invece può caricare un modulo solo se compilato con quel supporto, ma nonostante questo non ha bisogno di tenere in memoria codice inutile.

[QUOTE]
Hai mai avuto bisogno di sviluppare in .NET 2.0 (che non ha eguali)
[/QUOTE]

Questo è tutto da dimostrare

esiste un ambiente chiamato Webdev che, a mio parere, è molto superiore a .NET e consente, tra le altre cose, di scrivere web application in PHP.

evitiamo però discorsi del tipo: 'il mio ambiente ce l'ha più lungo del tuo'

Poppante informatico ha detto...

[QUOTE]
evitiamo però discorsi del tipo: 'il mio ambiente ce l'ha più lungo del tuo'
[QUOTE]

E perché no? Altrimenti come pensate di avvicinare le donne all'informatica?
Scusate la battutona ma ogni volta che leggo i continui "gné-gné.." e i battibecchi tra utilizzatori di Windows (o forse anche azionisti?) e quelli di Linux non riesco a trattenermi dalle risate... e dunque una battuta era quasi d'obbligo!

Dan ha detto...

"Poi, passatemi il paragone automobilistico... tanto lo fa la macchina, ma altrettanto lo deve fare il pilota."
Non entro nel merito tecnico della discussione, perchè non me ne intendo quasi per niente di Linux e kernel, ma giova ricordare che il problema è il famoso 'idiota tra lo tastiera e la sedia'...

"E pensa, se sei sysadmin, quanto tempo ci metti a configurare un dominio in Apache e quanto ci metti a fare lo stesso in IIS6."
Io penso anche a quanto ci vuole a bucarlo, al tempo che devi spendere a mettere patch, ai soldi da spendere per comprarlo...
E poi mi sembra che il confronto tra chi sia il più solido lo si veda alla prova dei fatti, come in questo caso no?

Anonimo ha detto...

In questo caso è stato bucato IIS4. Obsoleto e non patchato.
Vogliamo provare a mettere su un bel web server con Apache 1.0.0? Vuoi vedere se ci metto meno di un minuto a "sfondarlo"?
Non hai mai sentito parlare è di vulnerabilità di Apache? Infatti gli aggiornamenti ad Apache si fanno perché non si ha nulla da fare.
Le patch? Sono 4-5 una volta al mese. In linea perfetta con Linux in versione server.
Usalo un web server, prima di parlare.

Dan ha detto...

E se ci dessimo una calmatina? Cos'è tutta quest'animosità, sei un dipendente della Microsoft? Se cominciamo con il discorso "questo è meglio, questo è peggio" prendendolo come schieramento di parti non si ottiene niente di buono.
Discutiamo con calma delle caratteristiche, pregi e difetti coe si è fatto finora, e non prendiamocela tanto. Che tanto a nessuno ne viene o toglie nulla in tasca.
Usala la cortesia, prima di parlare.

Anonimo ha detto...

avevo letto avevano usato una sql injection e poi delle command exec..

Anonimo ha detto...

caro Paolo,
io sono uno degli "sfigati" a cui, il 10 di ottobre, hanno bucato il sito gli stessi "soggetti" di cui parli nell'articolo.
Il mio è un sito personale(piccolo piccolo) su server Windows di Aruba (in PhpNuke).
www.alman.it.
Temo (non sono un esperto) che l'attacco sia stato mirato su tutti i server che usano IIS 4 indiscriminatamente.
Grazie per l'accoglienza del mio commento e ti seguo sempre (sul mio sito c'è il link al tuo blog)
webmaster@alman.it

Buffalo ha detto...

Oh dio... uno scan con crack automatizzato... per vedere dove stanno i soggetti deboli che si possono crackare...
Ha ragione Paolo, questa è una robetta da hacker wannabe sfigati, con due programmini scaricati da internet si fa, è una cosa da script kiddy...
e magari i deficientelli si vantano anche di aver "crackato il un sito" come se avessero fatto chissà che.
Una volta cercando su internet trovai una discussione sull'argomento, c'era un tizio che si vantava di crackato qualche decina di siti dicendo di essere un grande hacker... dopo qualche commento altri hanno cominciato a sbeffeggiarlo e infamarlo, dicendo cose tipo "ma va là, quelle son cose che si trovano con scansioni automatiche, sai che avrai fatto...". Direi che si commenta da sè. :D