Questo articolo è stato pubblicato 12 anni 10 mesi 24 giorni fa! Nel mondo HiTech tutto questo tempo equivale ad ere geologiche. Per tanto ricorda che la notizia può essere passata, smentita o annullata!! Quindi effettua altre ricerche nel sito prima di raccontarlo ai tuoi amici!! Potresti fare una figuraccia...Mi è giunta oggi, tramite il modulo di contatto del sito, un comunicato di alcuni pirati informatici che vogliono segnalare una presunta vulnerabilità di SQL Injection sui portali ufficiali del Governo e di Palazzo Chigi; tramite questa vulnerabilità sarebbero riusciti ad estrapolare e ad accedere una quantità discreta di dati , fra cui: password ed indirizzi email di parlamentari.
Che sia vero o no, questo non sono ancora riuscito a scoprirlo.
Il messaggio che mi è stato inviato parla chiaro: i portali http://www.governo.it e http://www.palazzochigi.it sono vulnerabili ad un attacco di tipo: SQL Injection.
Utilizzano lo stesso sistema di gestione delle notizie:
http://www.governo.it/notizie/not_notizia.asp?idno=3349
http://palazzochigi.it/notizie/not_notizia.asp?idno=3349
Tramite il quale sembrerebbe, niente è ancora stato confermato, possibile accedere al database e quindi al contenuto delle sue tabelle.
Sql injection Governo.it
Come, presunta, prova di questo i pirati hanno allegato l’elenco di tutte le tabelle del database e il contenuto di una di questa: “aaut_mail”; la quale dovrebbe contenere tutti gli indirizzi email autorizzati ad accedere alle sezioni riservate.
L’advisory rilasciato lo potete trovare su Packet Storm un noto portale di bug list: http://packetstormsecurity.org/files/view/97295/governo-sql.txt.
Conclusioni: ora che questa vulnerabilità sia esistente non ne sono certo. L’advisory risale al 28/12/2010, magari in questi 10 giorni i webmaster dei portali governativi sono già riusciti a sistemare il problema o io non sono riuscito a risalire a come sfruttarlo. Il punto rimane se questi dati sensibili sono veramente stati violati o meno!
Anche io nel 2007 avevo segnalato un Bug sul portale della difesa, nessuno mi aveva risposto e dopo qualche giorno alcuni pirati hanno provveduto a deffaciare il sito!
Loading...
Pingback: Governo.it Hacked | Systemoveride.net
La falla è stata ripetutamente segnalata fino a quando non l'hanno fixata. Ecco perché non funziona più la vulnerabilità, semplicemente perché non c'è più. Come prova, comunque, abbiamo lasciato l'elenco delle tabelle di alcuni Database, senza postare le Password naturalmente. Ancora non riesco a credere a una così scarsa sicurezza soprattutto su un sito web molto importante!
Ciao,
non ti preoccupare avevo capito che avevano sistemato il bug.
Solo che per non essere troppo di "parte" ed evitare poi critiche e segnalazioni negative devo sempre stare nel "dubbio" se non ci sono comunicazioni ufficiali!
Guarda sono d'accordo con te: i siti istituzionali italiani sono sempre stati scarsi sulla sicurezza.
Anche io, ogni tanto per passione, mi occupo di bug su siti web. Non ai vostri livelli ma, come puoi vedere sul forum.
Il bello, ironicamente, è che la maggio parte dei webmaster nemmeno ti ringraziano per aver scoperto nel loro sito una vulnerabilità!
Comunque se in futuro avete qualche altra segnalazione da fare, di quel livello, sarà ben lieto di scriverci una notizia!
Luca
Ti posso anche dire che dopo l'attacco degli anonymous uno dei 3 (non dico se god, lord o system) ha avuto visite speciali… bel ringraziamento vero?
Guarda purtroppo non mi dici nulla di nuovo. L'Italia è molto lontana da strategie di sicurezza come quelle americane o anglosassoni; nel senso che pagano gli hacker di tutto il mondo se scovano una vulnerabilità importante nei loro sistemi e non li denunciano!