Cerca nel blog

2009/12/03

Defacement svizzeri [UPD 18:00]

Due note veloci sugli attacchi ai siti svizzeri


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

I media locali, qui in Canton Ticino, stanno dando risalto alla notizia del defacement di alcuni siti abbastanza conosciuti: Pompierilugano.ch, Tilo.ch, Rabadan.ch e altri. I siti sono stati già ripristinati. L'autore si presenta con un nick, iskorTOGLIQUESTOpitx, che stando a Zone-h.org è associato a numerosi defacement di massa a sfondo politico (si presenta come "hacker turco").

Due dei siti violati usano Windows Server 2003 con IIS 6.0, il terzo usa CentOS con Apache 2.0.52. L'unico altro defacement recente che ho trovato in Svizzera da parte dello stesso nick riguarda una scuola (schuletoffen.ch), ma ce ne sono stati molti altri in passato, diretti verso altri paesi.

L'impressione, stando ai dati di Zone-h.org, è che si tratti di un dilettante che fa defacement di massa, colpendo dove gli capita, specialmente siti piccoli, in cerca di attenzione e (vana)gloria, cavalcando stavolta la polemica sul recente referendum contro i minareti (che, va chiarito, non vieta il culto islamico o le moschee, ma soltanto la costruzione della specifica struttura del minareto).

Proprio perché mi sembra un gesto da troll, ho scritto il suo nick spezzandolo con "togli questo", in modo che non possa bearsi di vedere il proprio nome Googlandolo (inizialmente avevo provato spaziando le singole lettere ma Google si è dimostrato più furbo di me).

Suggerirei di considerare l'evento come un test di sicurezza gratuito e un richiamo alla necessità di pensare sempre alla sicurezza informatica, e di non dare all'intrusione un peso politico che alimenti polemiche, perché il troll non vuole altro che seminare zizzania. Ignorarlo e cogliere l'occasione per dare un ripasso alla protezione del proprio sito è, a mio parere, la cosa migliore da fare. Il gesto di un singolo, che non si sa neappure chi sia o da dove venga, non rappresenta un'intera nazione o un'intera fede. Niente panico, niente luoghi comuni, niente generalizzazioni razziste, ma occhio vigile. Anche perché un vero criminale informatico avrebbe violato i siti senza lasciare tracce visibili.


16:00, aggiornato alle 16:40


I siti attaccati sono ora centinaia, secondo una ricerca svolta da Ticinonline.ch. Ecco la schermata aggiornata di Zone-h.org:



Ci sono due pagine e mezza di siti con il suffisso .ch violati in queste ore dallo stesso nick citato sopra. Va notato che i siti elencati usano praticamente tutti Linux, anche se probabilmente sono in co-hosting e quindi violando un singolo host si produce il defacement dei vari siti ospitati su quell'host.

I defacement passati associati al nick usato oggi hanno preso di mira recentemente l'Olanda e l'Uganda, e molti recavano (e spesso tuttora recano) una dicitura in turco che, se Google Translate non sbaglia (accetto consulenze), significa "marca mondiale mai imitata, team di sviluppo costituito da una sola persona, [frase senza senso], siamo re di questo mondo!" (dünya markası asla taklit edilemez - tek kişilik dev kadro - BİZ BU İŞLERDE YÜKSEK LİSANS YAPTIK!! - BU ALEMİN KRALI BİZİZ!!). Decisamente infantile. Forse il nostro troll sta cercando di fare il salto di qualità e acquisire notorietà tramite l'uso di slogan politici. Attenzione a non abboccare alla provocazione.

Su un forum turco c'è quella che sembra essere un'intervista del 2006 a un nick identico. Anche qui sono gradite traduzioni migliori di quelle di Google Translate, se ne avete da offrire. Secondo Security Pro News, il nick in questione sarebbe attivo almeno dal 2003 con lo scopo di raggiungere una sorta di record personale di siti violati.


18:00


I defacement svizzeri di oggi sono associati anche ad altri due nick nelle segnalazioni di Zone-H.org, come mi segnala Enrico via mail e nei commenti qui sotto. Anche questi due vandali sembrano essersi concentrati sui frutti bassi dell'albero, facili da cogliere. I siti svizzeri che hanno colpito sono diverse centinaia, ma non sono stati violati uno per uno: è stata violata la sicurezza dei server che li ospitano collettivamente.

Anche in questo caso sono state apposte scritte a sfondo pseudoreligioso in inglese ("la nostra guerra continuerà contro coloro che sono contro la vera religione, l'Islam").

Ovviamente il gesto ha sollevato l'interesse dei media generalisti, suscitando paure in chi non sa che attacchi di questo genere avvengono molto frequentemente, anche senza la scusa della motivazione politica o ideologica (chiarisco che non escludo il nesso con il referendum sui minareti, come ha scritto Ticinoline, ma ho la sensazione che il referendum sia – almeno per il primo dei vandali citati sopra – un pretesto, un'ispirazione, non una motivazione).

Occorre tenere presente, inoltre, che a quanto risulta non sono stati colpiti siti essenziali delle infrastrutture svizzere.

Nessun commento: