Cerca nel blog

2011/04/26

Usare Google per “violare” un sito militare

Leggere il contenuto riservato di Aepubs.army.mil? No problem, ci pensa Google


Segnalazione bizzarra su Twitter da parte di Mikko Hypponen: il sito Aepubs.army.mil, se visitato con un browser, dice “We are sorry but you are not authorized to view this web site. You do not have permission to view the web site from the Internet address of your Web browser”. Senza autorizzazione non si entra, insomma.

Ma basta andare in Google e digitare site:aepubs.army.mil ed emergono circa 2300 documenti PDF consultabili (come questo) e pagine accessibili, come questa. E c'è anche la cache di Google.

Qualche esempio, giusto per confermare che non sto scherzando e prima che qualcuno si svegli e metta le cose a posto:





Congratulazioni a tutti gli interessati. È bello sapere di essere in buone mani.

34 commenti:

Surfer HL ha detto...

Semplicemente dei fenomeni.....

SHL

Anonimo ha detto...

Mondiale! Adesso pare che abbiano buttato giu` tutto il sito, ma la cache di Google c'e` ancora... :P

[the blogger formerly known as ǚşå÷₣ŗẻễ] ha detto...

"Ma basta andare in Google e digitare site:aepubs.army.mil"

E non credo che sia l'unico sito affetto da questo problemino ;)

alifa ha detto...

Non ho capito, la dir che linki si chiama pdfpubs, Google arriva solo lì o si spidera tutto il sito in barba alle policy?

Jotar ha detto...

Non ho capito (o almeno faccio finta di non capire) perché diffondi una simile notizia invece di avvisare i diretti responsabili.

E' come se io trovassi le tue chiavi di case e invece di chiamarti per restituirtele andassi in piazza a dire a tutti "ehi! ho le chiavi di casa di un tizio! e per farvi vedere che è vero ora vi porto tutti a casa sua!!"

Giuseppe Martorana ha detto...

Regolamento interno:
PROHIBITED TRANSACTIONS
h. Buying kitchens costing more than €15,000 (excluding tax). AHAHAH!!!

Fantastico....!!!! :)

Mr. Tambourine ha detto...

Vedi? Potrei essere io, a gestire 'sta roba.
Ma magari andrei anche peggio.
Anzi, sicuramente.

Kyle ha detto...

Ammesso che non sia un fake (e spero proprio di si) il mio prof di Basi di Dati ci faceva esempi simili a lezione usando Google per entrare nei database altrui sfruttando falle come questa per farci vedere come NON fare errori stupidi.
A quanto pare i gestori di quel sito non hanno avuto la fortuna di avere un prof come il mio XD

Paolo Attivissimo ha detto...

Non ho capito (o almeno faccio finta di non capire) perché diffondi una simile notizia invece di avvisare i diretti responsabili.

Primo: è inutile comunicare privatamente quello che è già spiattellato su tutta Internet. Stalla, buoi scappati, ecc.

Secondo: di preciso cosa avrei dovuto fare, secondo te? "Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...".

lufo88 ha detto...

D'altro canto, con un certificato di sicurezza non valido, cosa possiamo aspettarci?

[the blogger formerly known as ǚşå÷₣ŗẻễ] ha detto...

""Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...". "

"E come fa, se sono riservati?"

"Eh, basta scrivere in Google site:aepubs.army.mil e compaiono i link diretti, e sono leggibili"

"Come ha avuto queste informazioni?"

"Me lo ha detto mio cuggi... ehm, lo ha scoperto Mikko Hypponen"

"L'ex pilota di Formula 1 !?"

"Ehm, no... quello è Raikkonen..."

"Dev'essere un sodale di Assange. Mandiamo un paio di MIB a rapirlo, dove sta?"

"Ma no, guardi, lavora per F-Secure, si occupano di sicurezza, fanno gli antivirus..."

"Ce l'ho a video. Con quei capelli, è sicuramente un sodale di Assange. Mandiamo una cinquantina di MIB a rapirlo, dove sta?"

"click!"

Santino83 ha detto...

Mi sa che presto a Ramstein cambieranno responsabile della sicurezza

Max Senesi ha detto...

muahahahah...Fantastico

Stupidocane ha detto...

Diavolo di un Google...

Succede anche con le pagine di alcuni forum, dove basta ricercare una parola chiave di cui si sospetta l'esistenza all'interno di un forum chiuso, et voilà... l'indicizzazione delle pagine del forum chiuso sono spiattellate sul monitor e consultabili quasi a piacere...

Stupidocane ha detto...

Or ora mi sovviene un pensiero...

Che per caso gli sciacomicari, ufologari, truthisti, nibiruisti, mayaNi e Giacobbi vari abbiano approfittato di questa colossale svista?

Noi di Boyager crediamo di no. Non sono abbastanza svegli...

Sospetto che, da qualche parte di Sanremo, ci sia qualche calvo ricercatore indipendente (della forma fisica persa) che si starà mangiando le mani...

souffle ha detto...

A questo punto non posso esimermi dal citare la Sora Lella:

"ANNAMO BBENE, ANNAMO!!!"

il Lupo della Luna ha detto...

Beh, il certificato non valido potrebbe essere semplicemente dovuto al fatto che è autofirmato. Se mi creo un certificato SSL per il mio server SSH non lo faccio certificare da un'autorità di certificazione e per questo risulta non valido...
Sempre se ho capito bene come funziona SSL...

Anonimo ha detto...

Mi ricorda tanto quando Katherine Solomon accede a dei file segreti nel libro "Il simbolo perduto" di Dan Brown.

MR ha detto...

Qualcuno là dentro si è stufato di leggere l'howto di Apache dopo le prime 10 pagine... La cartella pdfpubs è protetta:

https://aepubs.army.mil/pdfpubs/

ma è possibile accedere ai file direttamente se se ne conosce il nome.
Fantastico!

Tukler ha detto...

@il Lupo della Luna:
Esatto, a parte che SSH non c'entra niente (è una cosa abbastanza diversa, ma magari hai semplicemente sbagliato a scrivere?).

Usare un certificato autofirmato può anche essere la scelta adatta, e nei casi di servizi sicuri non aperti al pubblico è anche pratica comune, sia perché può scoraggiare eventuali visitatori occasionali (chi sa dove deve andare i due click in più li fa senza problemi), ma soprattutto perché annulla la possibilità di essere vittime collaterali di attacchi alle autorità certificanti.
Anche se vedendo la clamorosa falla che hanno lasciato mi sembra difficile che siano passati attraverso queste stesse valutazioni.

Clo&demk ha detto...

Wow

Che interessante/sconvolgente segnalazione.
Chiunque può accedere a dati sensibili e magari privati.

Speriamo risolvano al più presto!

Divilinux ha detto...

Quasi peggio di Italia.it....

So' L'enigmista ha detto...

Nel 2008 scoprii che aveva questo problema (o meglio un problema molto simile, meno "palese" di questo) il sito dell'autore... di un libro di informatica forense for dummies. FACEPALM! Ora ha turato la falla ma resta comunque un ironico EPIC FAIL...

Grezzo ha detto...

Ancora non se ne sono accorti?!?!?!

il Lupo della Luna ha detto...

Tukler: infatti è un errore di battitura, SSH sta per SSL :D

Nessuno ha detto...

Curioso... cercando "chemtrails" non trova nemmeno un documento... maledetti Men in Black! ^__^

Federico ha detto...

La cartella pdfpubs è protetta:

https://aepubs.army.mil/pdfpubs/

ma è possibile accedere ai file direttamente se se ne conosce il nome.


è un errore di progettazione molto comune, non c'è molto da dire: vuol dire che chi sviluppa applicativi Web non conosce bene come funziona il Web!
Ci sono anche applicativi della pubblica amministrazione che funzionano in questo modo (e non c'è da stare molto allegri, sinceramente).

Resta comunque da capire come abbia fatto google ad indicizzare il contenuto della cartella. Probabilmente alcune pagine che puntano ai file "protetti" sono accessibili liberamente ancora adesso, oppure, in un certo momento della loro esistenza, lo sono state.

Tukler ha detto...

Resta comunque da capire come abbia fatto google ad indicizzare il contenuto della cartella. Probabilmente alcune pagine che puntano ai file "protetti" sono accessibili liberamente ancora adesso, oppure, in un certo momento della loro esistenza, lo sono state.

Credo che sia ancora più semplice: le varie pagine sono molto linkate tra loro, basta cercare un url di una pagina html qualsiasi per vedere che è linkata da diverse altre pagine.
Probabilmente è bastato che qualcuno dall'esterno linkasse una pagina interna, per far sì che lo spider partisse a seguire tutti i percorsi che lo hanno portato ad indicizzare tutti questi documenti.

il Lupo della Luna ha detto...

C'è anche una ipotesi MOLTO peggiore che mi è venuta in mente ora. Se qualcuno avesse attivato "Google ricerca personalizzata" sul sito? O_o

Comunque è RIDICOLO che si possano raggiungere i singoli documenti conoscendo l'URL. Insomma sono le basi della configurazione dei webserver. Tra l'altro se non ricordo male, l'impostazione standard è rifiutare l'accesso in mancanza di una regola, il che significa che è stata modificata APPOSTA..

Tukler ha detto...

C'è anche una ipotesi MOLTO peggiore che mi è venuta in mente ora. Se qualcuno avesse attivato "Google ricerca personalizzata" sul sito? O_o

Non credo, per usarla avrebbero dovuto dare accesso a Google ad una pagina da cui partire per raggiungere l'intero contenuto del sito, e tra le pagine indicizzate da Google non mi sembra che esista nessuna pagina di questo tipo.
Inoltre, ci sono pagine che esistono ma Google non ha indicizzato: ad esempio Google conosce
https://aepubs.army.mil/pdfpubs/CPL03.htm
e https://aepubs.army.mil/pdfpubs/CPL05.htm, ma esiste anche https://aepubs.army.mil/pdfpubs/CPL04.htm che però non è indicizzata da Google.

Inoltre, sembra che concedano l'accesso sulla base dell'indirizzo IP (anche se ci sarebbe da capire come quella sezione si intreccia con l'autenticazione asp tramite account AKO), quindi sarebbe difficile lasciare accesso allo spider di Google, che non sai esattamente da quale IP possa arrivare. Sicuramente non concedono l'accesso sulla base dello User Agent dello spider. C'è anche da dire che se lo spider di Google avesse avuto accesso, non dovrebbe risultare questa pagina nella cache.

Jotar ha detto...

"Primo: è inutile comunicare privatamente quello che è già spiattellato su tutta Internet. Stalla, buoi scappati, ecc."

"Secondo: di preciso cosa avrei dovuto fare, secondo te? "Buongiorno, parlo con la base militare di Ramstein? Posso parlare con il vostro responsabile per la sicurezza informatica? Sa, io leggo circa 2300 vostri PDF riservati...". "

Per me:
Una cosa è avvisare.
Una cosa è non fare niente.
Una cosa è non avvisare, ma sparare informazioni riservate ai quattro venti.

Cioé, non si può dire "è bello sapere di essere in buone mani" e contemporaneamente essere parte del problema di sicurezza.

Paolo Attivissimo ha detto...

Cioé, non si può dire "è bello sapere di essere in buone mani" e contemporaneamente essere parte del problema di sicurezza.

Forse non hai considerato che spesso l'unico modo per far capire che il problema è serio è renderlo pubblico. Altrimenti prevale la mentalità della security through obscurity.

Esempio di questi mesi: Firesheep vs Twitter e Facebook. I social network si sono schiodati dalla loro inerzia solo quando la loro security è stata crivellata da un plug-in usabile da chiunque.

yellow ha detto...

Nooo!!! Paolo, da quando usi Chrome???

Ognuno ha la distribuzione Linux che si merita ! ha detto...

Scusate ma questa è la tecnica chiamata Goggle-hack vecchia come la terra, non è una novità, gli poeratori logici fanno il loro lavoro, quindi se il file è stato catalogato da Google, significa che utilizzano dei server collegati alla Rete, se avessero avuto una Intranet non connessa ad Internet questo non sarebbe accaduto. Molto semplice.