c.m.g
10-10-2007, 01:33
Notizia del 10 Ottobre 2007
Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it (http://www.ansa.it/), sito della nota agenzia di stampa italiana.
Nel suo blog (http://rosario.valotta.googlepages.com/) Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove.
http://punto-informatico.it/punto/20071010/ansa.jpg
"La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente".
Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana.
Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti".
"Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità".
Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontrate.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2084900)
Roma - "Improvvisarsi collaboratore ANSA e far circolare liberamente notizie di fantasia in giro per Internet". Secondo l'esperto di sicurezza Rosario Valotta ciò è quanto era possibile fare, solo pochi giorni fa, sfruttando alcune debolezze nel sistema di pubblicazione web-based di ansa.it (http://www.ansa.it/), sito della nota agenzia di stampa italiana.
Nel suo blog (http://rosario.valotta.googlepages.com/) Valotta spiega che i collaboratori ANSA possono inserire le proprie news nel sistema di pubblicazione dell'agenzia avvalendosi di due web application. Prima che i webmaster del sito sistemassero le lacune di sicurezza, l'interfaccia utente di tali applicazioni era accessibile a chiunque: per entrare nel sistema di inserimento delle notizie era necessario autenticarsi, ma ciò non ha impedito a Valotta di scoprire che, digitando un certo URL, si accedeva ad un file log contenente informazioni quali l'indice delle notizie e il relativo autore. Non senza grande stupore, l'hacker ha scoperto che certi collaboratori utilizzano lo username anche come password: ciò consentiva anche ad utenti non autorizzati di loggarsi nel sistema, visionare le news inviate via Internet da tutti i giornalisti e persino inserirne di nuove.
http://punto-informatico.it/punto/20071010/ansa.jpg
"La maggior parte degli account riportati nella pagina viewlog.asp hanno username uguali alle password ed entrambi sono costituiti da 2-3 caratteri", scrive Valotta nel proprio blog. "Nella mente dei progettisti l'autenticazione è stata pensata con l'intento di vincolare ciascun collaboratore alla consultazione delle sole news da lui inviate. Peccato che una cosa è l'autenticazione, altra è l'autorizzazione. La seconda (che ho detto) è... inesistente".
Con qualche accorgimento e un po' di fortuna, Valotta sostiene che un malintenzionato avrebbe potuto agevolmente superare il controllo di eventuali supervisori e riuscire a pubblicare una notizia falsa: falsa ma accreditata dalla maggiore agenzia stampa italiana.
Ma non è finita qui. Valotta ha anche scoperto una vulnerabilità di tipo reflective XSS che, a suo dire, consentiva di "prendere completo possesso del database tramite attacco al listener ed alterare account e dati presenti".
"Questo modello di gestione, unito alla totale assenza di un adeguato controllo degli accessi, è gravissimo", ha commentato l'esperto, che in una email inviata a Punto Informatico ha anche aggiunto: "Quello che ho fatto non richiede quasi nessuna perizia tecnica, ma solo un po' di curiosità".
Valotta fa sapere che, dietro sua segnalazione, i responsabili di ansa.it hanno già provveduto a chiudere le debolezze riscontrate.
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2084900)