c.m.g
22-02-2008, 10:02
venerdì 22 febbraio 2008
Roma - Si è cominciato (http://punto-informatico.it/p.aspx?i=2196049) col Partito Democratico, ma non è ancora finita. Molti avamposti online di partiti politici di ogni schieramento soffrono di vulnerabilità al codice del sito. Un problema tanto più sentito visto che oggi, come mai in passato, la presenza in rete delle forze politiche è diventata un vero punto di riferimento per gli elettori.
Un valore, quello della Rete, testimoniato da iniziative di tutti gli schieramenti, che puntano a sfruttare l'affermazione di fenomeni quali la pubblicità virale (http://www.menomalechesilvioce.it/) e il microblogging (http://twitter.com/WVeltroni), naturalmente declinati in versione "campagna elettorale".
http://www.punto-informatico.it/punto/20080222/mis.jpg
Un problema che potenzialmente espone i rappresentati eletti e i cittadini stessi a conseguenze anche gravi: cosa accadrebbe se un malintenzionato sfruttasse a fini propagandistici certe falle nei sistemi di pubblicazione dei contenuti per distorcere le opinioni e le posizioni espresse da una forza politica?
Cosa accadrebbe se, ad esempio, al posto (http://www.radicali.it/cerca_exec.php?fields=1&type=7&titolo=VOGLIAMO%20PAPERINO%20AL%20GOVERNO&20;)) di "VOGLIAMO PAPERINO AL GOVERNO" sul sito dei Radicali Italiani (http://www.radicali.it/index.php) comparisse un'altra scritta? Il rischio è che, all'insaputa del Partito, qualcuno possa sfruttare l'occasione per far circolare URL dal contenuto potenzialmente problematico.
http://www.punto-informatico.it/punto/20080222/radicali.jpg
Ma se nel caso dei Radicali si tratta di un semplice XSS (http://en.wikipedia.org/wiki/Cross-site_scripting), altrove va peggio. Come spiega (http://www.lastknight.com/2008/02/21/altri-siti-di-partiti-politici-vulnerabili/#comments) l'esperto di sicurezza Matteo Flora sul suo blog, navigando sul sito (http://www.popolariudeur.it/) dell'UDEUR si incappa invece in una più grave SQL Injection (http://en.wikipedia.org/wiki/Sql_injection); un problema condiviso con il Movimento Idea Sociale di Rauti (http://www.misconrauti.it/). Vulnerabilità che possono consentire a malintenzionati di modificare, copiare o distruggere molti contenuti.
http://www.punto-informatico.it/punto/20080222/udeur.png
Ma neppure il sito del Partito Democratico, come ricordato già colpito da un buco di sicurezza, passa indenne ad ulteriori esami. Oltre ai problemi segnalati da Roberto Scaccia, Flora ha scovato altre potenziali vulnerabilità legate alla mancata url sanitization: una stringa mal formulata, volutamente o casualmente posta nella barra indirizzi di un browser, potrebbe causare danni simili a quelli dei casi già descritti.
http://www.punto-informatico.it/punto/20080222/pd.jpg
Il fatto che proprio in questi giorni emergano queste vulnerabilità in seno alla comunità della sicurezza non deve sorprendere, perché pur essendo Internet quasi interamente trascurata dai programmi elettorali delle forze politiche è proprio Internet il mezzo principale (http://punto-informatico.it/p.aspx?i=2185858) con cui i cittadini possono formare la propria posizione in vista del voto di aprile.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2197528)
Roma - Si è cominciato (http://punto-informatico.it/p.aspx?i=2196049) col Partito Democratico, ma non è ancora finita. Molti avamposti online di partiti politici di ogni schieramento soffrono di vulnerabilità al codice del sito. Un problema tanto più sentito visto che oggi, come mai in passato, la presenza in rete delle forze politiche è diventata un vero punto di riferimento per gli elettori.
Un valore, quello della Rete, testimoniato da iniziative di tutti gli schieramenti, che puntano a sfruttare l'affermazione di fenomeni quali la pubblicità virale (http://www.menomalechesilvioce.it/) e il microblogging (http://twitter.com/WVeltroni), naturalmente declinati in versione "campagna elettorale".
http://www.punto-informatico.it/punto/20080222/mis.jpg
Un problema che potenzialmente espone i rappresentati eletti e i cittadini stessi a conseguenze anche gravi: cosa accadrebbe se un malintenzionato sfruttasse a fini propagandistici certe falle nei sistemi di pubblicazione dei contenuti per distorcere le opinioni e le posizioni espresse da una forza politica?
Cosa accadrebbe se, ad esempio, al posto (http://www.radicali.it/cerca_exec.php?fields=1&type=7&titolo=VOGLIAMO%20PAPERINO%20AL%20GOVERNO&20;)) di "VOGLIAMO PAPERINO AL GOVERNO" sul sito dei Radicali Italiani (http://www.radicali.it/index.php) comparisse un'altra scritta? Il rischio è che, all'insaputa del Partito, qualcuno possa sfruttare l'occasione per far circolare URL dal contenuto potenzialmente problematico.
http://www.punto-informatico.it/punto/20080222/radicali.jpg
Ma se nel caso dei Radicali si tratta di un semplice XSS (http://en.wikipedia.org/wiki/Cross-site_scripting), altrove va peggio. Come spiega (http://www.lastknight.com/2008/02/21/altri-siti-di-partiti-politici-vulnerabili/#comments) l'esperto di sicurezza Matteo Flora sul suo blog, navigando sul sito (http://www.popolariudeur.it/) dell'UDEUR si incappa invece in una più grave SQL Injection (http://en.wikipedia.org/wiki/Sql_injection); un problema condiviso con il Movimento Idea Sociale di Rauti (http://www.misconrauti.it/). Vulnerabilità che possono consentire a malintenzionati di modificare, copiare o distruggere molti contenuti.
http://www.punto-informatico.it/punto/20080222/udeur.png
Ma neppure il sito del Partito Democratico, come ricordato già colpito da un buco di sicurezza, passa indenne ad ulteriori esami. Oltre ai problemi segnalati da Roberto Scaccia, Flora ha scovato altre potenziali vulnerabilità legate alla mancata url sanitization: una stringa mal formulata, volutamente o casualmente posta nella barra indirizzi di un browser, potrebbe causare danni simili a quelli dei casi già descritti.
http://www.punto-informatico.it/punto/20080222/pd.jpg
Il fatto che proprio in questi giorni emergano queste vulnerabilità in seno alla comunità della sicurezza non deve sorprendere, perché pur essendo Internet quasi interamente trascurata dai programmi elettorali delle forze politiche è proprio Internet il mezzo principale (http://punto-informatico.it/p.aspx?i=2185858) con cui i cittadini possono formare la propria posizione in vista del voto di aprile.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2197528)