Poste sotto attacco!
sabato, 10 ottobre 2009
Da questa sera il sito delle poste: www.poste.it è sotto attacco.
Invece della solita Home Page ecco quello che appare:
Poco dopo appare un riquadro di "attenzione" che svela il mistero. Il testo esordisce così:
Le Poste Italiane sono state oscurate? Perché questo atto di forza?
Per dimostrare a milion di italiani che i loro dati sensibili non sono al sicuro... firmato Mister Hipo e StutM.
Se volete leggerlo tutto cliccate qui: Visualizza questa foto
In un periodo dove si attacca tutto e tutti, questo verso le Poste mi sembra un modo "terroristico" per avvisare che qualcuno è stato in grado di cambiare la Home Page di un sito tanto importante. I dati sensibili, invece, sono tutta un'altra faccenda e non basta questo per poterli carpire.
Ancora una volta gli attacchi dei catastrofisti cercano di mostrare una realtà distorta rivelando solo una parte di come stanno veramente le cose e tacendo, ovviamente, quello che li smaschererebbe.
Credo che sia giunto il momento di essere costruttivi: la distruzione, ahimé, non porta a niente.
Complimenti comunque a Mister Hipo e a StutM. Risucire nell'impresa sarà stato divertente.
marcello
> e, così, giusto per
> confermare la serietà con
> cui lavora questa gente:
> ...
Appunto.
E' proprio il caso di dire "come volevasi dimostrare".
Scritto da: Nicola | lunedì, 14 dicembre 2009 a 16:50
e, così, giusto per confermare la serietà con cui lavora questa gente:
http://www.repubblica.it/2009/11/sezioni/cronaca/postamat/postamat/postamat.html
Scritto da: marcello | mercoledì, 25 novembre 2009 a 13:36
Stefano Galla
> I dati sensibili, invece, sono tutta un'altra
> faccenda e non basta questo per poterli carpire.
Scusate, ma a mio avviso state sottovalutando la vulnerabilità in oggetto.
Fortunatemente, coloro che hanno compiuto questa impresa lo hanno fatto chiaramente con l'intento della mera "bravata". In caso contrario, avrebbero probabilmente sostituito la pagina principale con una sua copia fedele in ogni dettaglio.
E' utile ricordare, inoltre, che pagine "protette" (probabilmente si fa riferimento a comunicazioni basate su SSL) non scongiurano affatto fenomeni come, ad esempio, quello del session hijacking.
Io avevo un conto BancoPosta, e spesso, nel fare operazioni online, le applicazioni del loro network mostravano a video i dettagli tecnici di errori di runtime, con tanto di analisi dello stack.
Quindi si parla di eccezioni non gestite, magari con una pagina di cortesia appropriata da mostrare all'utente.
Non per fare il saputello, ma io, discutendo con i colleghi del più e del meno, da tempo segnalavo queste anomalie nei loro sistemi.
E, probabilmente, non ci ero andato molto lontano...
Scritto da: Nicola | martedì, 27 ottobre 2009 a 17:44
Infatti la gestione della HOME PAGE non ha NULLA a che vedere con i dati personali degli utenti.
Le pagine protette non sono state affatto "invase", tant'è che bastava iserire l'indirizzo di queste per vederle tranquillamente.
Gli Hacker hanno solo reindirizzato una normalissima Home Page NON protetta, e questo non ha compromesso nulla né tantomeno questo può essere considerato il primo passo verso un'intrusione fraudolenta.
Quello che condanno è proprio l'informazione sbagliata, il "terrorismo" di chi sputa sentenze che mettono ansia agli utenti meno preparati.
Cerchiamo di dire le cose come stanno. E' meglio per tutti. In difesa proprio della tanto sbandierata democrazia e libertà di stampa.
Scritto da: Stefano "Galla" | lunedì, 12 ottobre 2009 a 11:28
sicuramente non basta "ownare" la home page di poste.it per accedere *automaticamente* ai dati sensibili degli utenti. ma il fatto che qualcuno sia riuscito a farlo rende palese che qualcuno dei gestori di poste.it non ha fa correttamente il suo lavoro.
questo fa sorgere dei legittimi dubbi sulla sicurezza di tutto il resto del loro sistema.
il gesto dei due hacker può essere considerato legittimo o meno.
ma il vero problema è di poste.it
Scritto da: Marcello | lunedì, 12 ottobre 2009 a 11:14