è un po che non scrivo qui.. dovevo fare una ricarica postepay dal bancoposta online e sorpresa!

http://img132.imageshack.us/img132/6373/defacciato.th.png (http://img132.imageshack.us/i/defacciato.png/)

lode ai signori hacker.. anche se sinceramente in quanto cliente di posteitaliane non nego di essere un po preoccupato...

ora il sito nn è raggiungibile, a mio avviso è inaccettabile

meno male che tanto ho solo la postepay dove non c'è un euro:ciapet:

grazie per l'immagine, la stavo cercando...


ma rischia chi è registrato al sito o qualunque correntista?

Meno male che ho chiuso il conto alle poste da ora mai due anni. Va bene solo a tenerci due soldi, ma se solo inizi a usarlo come pagamento utenze ecc diventa una monnezza... Bella sicurezza :asd:

cazzo :eek: :doh:

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

di recente perlomeno hanno sostituito il vecchio codice con 10 caratteri con un apparecchio fisico che genera dei codici, per le operazioni on-line che riguardano le movimentazioni di conto, quindi se non altro violando il DB un malintenzionato avrebbe solo la possibilità di sbirciare il saldo e l'estratto conto.

cazzo :eek: :doh:

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

di recente perlomeno hanno sostituito il vecchio codice con 10 caratteri con un apparecchio fisico che genera dei codici, per le operazioni on-line che riguardano le movimentazioni di conto, quindi se non altro violando il DB un malintenzionato avrebbe solo la possibilità di sbirciare il saldo e l'estratto conto.

Partiamo dal presupposto che, come tutte le banche, i dati dei conti sono su sistemi host e praticamente irraggiungibili da fuori.
Il problema è che per l'accesso al sito di Poste, invece, basta un nome utente e una password di massimo otto caratteri ( ridicolo ). Niente altro.

L'apparecchio fisico di cui parli, invece, serve per autorizzare le transazioni, dalle ricariche postepay ai bonifici. A parte la scomodità di portarsi un affare del genere appresso, comunque non viene sfruttato per l'accesso al conto.

Da quel che so da anni Poste sta cercando di mettere in piedi un sistema tipo l'o-key di San Paolo, ma senza successo.

Un defacement non è nulla di cui preoccuparsi, ma la sicurezza di Poste è veramente ai minimi termini, anche per quanto riguarda le transazioni con gli ATM.

Si ma un conto è defacciare un sito, un conto è accedere ai dati sensibili criptati. E poi il server è stato subito staccato. E quasi impossibile penso accedere ai dati degli utenti.

Da quel che so da anni Poste sta cercando di mettere in piedi un sistema tipo l'o-key di San Paolo, ma senza successo.

Un defacement non è nulla di cui preoccuparsi, ma la sicurezza di Poste è veramente ai minimi termini, anche per quanto riguarda le transazioni con gli ATM.

perchè? in cosa differiscono gli ATM delle poste da quelli delle altre banche? :confused:

p.s. sono anni che ho il bancopostaonline e sinceramente, con un uno un minimo oculato, ovvero rispettando le basilari norme di sicurezza, e mai avuto problemi.
non ci sarebbe mai stato nemmeno bisogno del trabiccolo, il codice a 10 cifre era ben più che sufficiente... ma ci son certi polli in giro... anzi... certi "pesci"... :asd:

perchè? in cosa differiscono gli ATM delle poste da quelli delle altre banche? :confused:

p.s. sono anni che ho il bancopostaonline e sinceramente, con un uno un minimo oculato, ovvero rispettando le basilari norme di sicurezza, e mai avuto problemi.
non ci sarebbe mai stato nemmeno bisogno del trabiccolo, il codice a 10 cifre era ben più che sufficiente... ma ci son certi polli in giro... anzi... certi "pesci"... :asd:

Differiscono ad esempio nella gestione delle chiavi di scambio con i sistemi host ( fondamentali per la cifratura delle transazioni ) oppure in operazioni meno critiche ma comunque importanti, come lo storno in caso di prelievi fantasma.

Poi, per chi ne ha bisogno, non è possibile versare in un ATM, almeno per ora.

Meno male che ho chiuso il conto alle poste da ora mai due anni. Va bene solo a tenerci due soldi, ma se solo inizi a usarlo come pagamento utenze ecc diventa una monnezza... Bella sicurezza :asd:

il bancoposta ti permette di fare tutto ciò che fai con un c/c bancario e pure di più: bollettini di tutti i tipi, vaglia e tutti gli altri servizi delle poste e la sicurezza è ottima, basta non essere dei polli e abboccare alla prima mail che ti domanda i dati. come succede peraltro per i c/c bancari.

il bancoposta ti permette di fare tutto ciò che fai con un c/c bancario e pure di più: bollettini di tutti i tipi, vaglia e tutti gli altri servizi delle poste e la sicurezza è ottima, basta non essere dei polli e abboccare alla prima mail che ti domanda i dati. come succede peraltro per i c/c bancari.

ineffetti il bancoposta è un buon servizio, ed è sicuramente più economico che tenere un conto in banca

cazzo :eek: :doh:

anche se credo in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

Si ma un conto è defacciare un sito, un conto è accedere ai dati sensibili criptati. E poi il server è stato subito staccato. E quasi impossibile penso accedere ai dati degli utenti.

Quoto, hanno cambiato solo l'homepage.. i dati sensibili sono criptati in un altro server..
Hanno solo voluto fare i fenomeni per sputtanare Poste Italiane..

Quoto, hanno cambiato solo l'homepage.. i dati sensibili sono criptati in un altro server..
Hanno solo voluto fare i fenomeni per sputtanare Poste Italiane..
Se avessero voluto avrebbero potuto ben altro...il problema era serio e conosciuto da un pezzo, legato ad una vulnerabilità della pagina salastampa.poste.it
http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/

Assurdo.
Non sapevo di questa notizia.
Che figura!

Comunque teoricamente, anche se non me ne intendo, mi sembra qualsiasi network ha delle potenziali falle.
E' vero?

per me c' è lo zampino di qualche banca online

"Un computer sicuro è un computer spento"

cit. Kevin Mitnick

"C'è computer e computer"

cit. Musica_maestro
:D

Ok che ogni sistema potrebbe avere delle falle teoriche, ma qui parliamo di milioni (se non miliardi di euro) che la posta gestisce.

"Di sicuro a questo mondo non c'è nulla, non solo i computer"
cit. Musica_maestro
:D

Possibile che nessuno abbia ancora capito che questi hackeronzoli da 4 soldi non hanno fatto altro che defacciare un sito sfruttando qualche falla di sicurezza. Punto. Il database con i dati personali dei clienti NON risiede certo su quel server, ed inoltre è dietro svariati firewall hardware e software... tutto criptato.. non è certo una cosa alla portata di comuni "hacker" nostrani..
Volevano solo attirare l'attenzione su di loro o forse, più facilmente, screditare le Poste..

Farsi defacciare un network di quella portata quindi è una cosa normale, sicura?
:eek:
Perché le Poste italiane non indicono il concorso a chi defaccia meglio?
Tanto non comporta nulla, i dati sono sicuri.
:D

Credo che qui non si capisce che il defacciamento di un sito può, con incroci di email o di azioni mirate, neanche tanto difficili da farsi, portare migliaia di utenti (se il defacciamento si protrae per un lasso di tempo sufficiente), visitatori/clienti ad inserire dati e quant'altro sui database criptati e sicuri NON della posta, ma degli hackerucoli che se la ridono e godono nel mare di qualche isola del pacifico.

Oltre all'attenzione, avrebbero potuto (ripeto avrebbero), quindi attirare qualcos'altro...

Il database o i database di piattaforme dinamiche come quelli fanno riferimento a dati, html, plugin, servizi, motore del sito...
Ad esempio quello della pagina html defacciata è stato toccato.
O probabilmente hanno solo messo un file statico in html al posto della index della home.
I dati criptati poi possono o essere decriptati in alcuni casi o anche semplicemente ri-sfornati dal database stesso in chiaro.
Insomma non so bene come è stato il risultato del defacciamento ma CREDO che i rischi sono molto ma molto elevati.

Farsi defacciare un network di quella portata quindi è una cosa normale, sicura?
:eek:
Perché le Poste italiane non indicono il concorso a chi defaccia meglio?
Tanto non comporta nulla, i dati sono sicuri.
:D

Credo che qui non si capisce che il defacciamento di un sito può, con incroci di email o di azioni mirate, neanche tanto difficili da farsi, portare migliaia di utenti (se il defacciamento si protrae per un lasso di tempo sufficiente), visitatori/clienti ad inserire dati e quant'altro sui database criptati e sicuri NON della posta, ma degli hackerucoli che se la ridono e godono nel mare di qualche isola del pacifico.

Oltre all'attenzione, avrebbero potuto (ripeto avrebbero), quindi attirare qualcos'altro...

Il database o i database di piattaforme dinamiche come quelli fanno riferimento a dati, html, plugin, servizi, motore del sito...
Ad esempio quello della pagina html defacciata è stato toccato.
O probabilmente hanno solo messo un file statico in html al posto della index della home.
I dati criptati poi possono o essere decriptati in alcuni casi o anche semplicemente ri-sfornati dal database stesso in chiaro.
Insomma non so bene come è stato il risultato del defacciamento ma CREDO che i rischi sono molto ma molto elevati.

Per semplificarmi il tutto ti invito a leggere questo:

http://www.spazioalchimia.it/attimi-di-coscienza-civile/7-truffe-informatiche/52-quando-la-disinformazione-supera-la-demenza

e i commenti quà:

http://www.dgxstyle.net/2009/10/11/poste-it-sotto-attacco/#comments

Grazie per aver postato questa fonte, che da una prima lettura generica sembra affermare proprio quello che dicevo.
...non è stata cosa da poco.
Vado a leggere meglio ed anche i commenti.

Poseguendo ancora nella discussione e dopo aver letto alcuni commenti, guarda quello che dice il commentatore Giulio nella pagina da te linkata.
Concordo pienamente con quello che scrive ed è identico da quello da me detto.

Che i database siano su altri server e criptati o protetti, la cosa è relativa.

Ma poi, scusate.
Cosa pensate che la Poste.it, umiliata in questo modo, dicesse alla stampa?
Ragazzi ci hanno defacciato e potevano fare quello che volevano con i vostri dati e soldi?

E' ovvio che è trapelato solo il minimo del minimo che doveva trapelare.
:mbe:

Questione di punti di vista... io credo più al pensiero di Maurizio..
Credo ci sia stato un pò troppo allarmismo ed inesattezze su questo avvenimento :)

non capisco che senso abbia sminuire l'operato dei due defacers.
La moda più comune sui forum sia quella di additarli come hacker da 4 soldi, se fossero stati veramente hacker fighi avrebbero rubato tutti i soldi, eh beh -_-
E' dimostrato che era facile accedere ai dati sul database, non sappiamo se stiamo parlando solo del database della sala stampa o anche quello con i dati degli utenti, in ogni caso se avessero voluto veramente rubare non gli ci sarebbe voluto molto a mandare i dati di login dove volevano loro...e magari alle poste non se ne sarebbero neanche accorti, senza un defacement -_-
inoltre le poste sono colpevoli di non essere intervenute per correggere il problema nonostante fossero state avvertite da mesi

non capisco che senso abbia sminuire l'operato dei due defacers.
La moda più comune sui forum sia quella di additarli come hacker da 4 soldi, se fossero stati veramente hacker fighi avrebbero rubato tutti i soldi, eh beh -_-
E' dimostrato che era facile accedere ai dati sul database, non sappiamo se stiamo parlando solo del database della sala stampa o anche quello con i dati degli utenti, in ogni caso se avessero voluto veramente rubare non gli ci sarebbe voluto molto a mandare i dati di login dove volevano loro...e magari alle poste non se ne sarebbero neanche accorti, senza un defacement -_-
inoltre le poste sono colpevoli di non essere intervenute per correggere il problema nonostante fossero state avvertite da mesi

Falso, molto falso. Defacciare un sito web sfruttando l'SQL Injection o l'XSS Scripting con Pan***in o tool simili è roba da ragazzini a cui puzza ancora la bocca di latte. Il deface ha molto poco di tecnico e di "hackeroso"[sic], i dati dei conti sono a un layer inarrivabile dai frontend.

Il fatto che le poste non se ne sarebbero mai accorte poi non puoi certo saperlo, visto che non hai idea di come sia strutturata la sicurezza in un'azienda.E fidati che la rete interna di poste è molto ma molto ben strutturata, nonché piena zeppa di sonde. Se c'è una cosa che funziona bene in PI è proprio l'infrastruttura di rete... :rolleyes:

Prendo spunto dal tuo post per rispondere a tutti quelli che pensano che si sia andati molto vicini ad un megafurto dei dati dei conti.

Detto questo, da correntista poste ero già da tempo dell'idea di spostare tutto da un'altra parte proprio per il fatto che, per accedere al conto ( ma senza poter fare operazioni ) basta una username e una password di massimo[sic] otto caratteri. :doh:

i dati dei conti sono a un layer inarrivabile dai frontend.
:
E' su questa tua affermazione che nutro parecchie perplessità.
Nel senso che se non sono arrivabili direttamente potrebbero esserlo per via indiretta anche tramite azioni di phishing.
Lo fanno senza defacciare ed entrare, figuriamoci giocando "in casa".
:D

Inoltre non capisco come le poste italiane non abbiano testato difese su falle note del tipo:
:SQL Injection o l'XSS Scripting con Pan***in o tool simili

Pertanto se gli hackerunkoli puzzano ancora di latte quelli delle poste ancora devono nascere.
O no?

E' su questa tua affermazione che nutro parecchie perplessità.
Nel senso che se non sono arrivabili direttamente potrebbero esserlo per via indiretta anche tramite azioni di phishing.
Lo fanno senza defacciare ed entrare, figuriamoci giocando "in casa".
:D

Inoltre non capisco come le poste italiane non abbiano testato difese su falle note del tipo:
:SQL Injection o l'XSS Scripting con Pan***in o tool simili

Pertanto se gli hackerunkoli puzzano ancora di latte quelli delle poste ancora devono nascere.
O no?

Distinguiamo: il phishing è tutto un altro paio di maniche e non c'entra nulla con un'eventuale intrusione. È come dare ad un ladro volontariamente il tuo bancomat e il tuo pin. L'abilità del ladro è pari a zero, semplicemente hai abboccato al tranello. Al limite si può dire che sia stato bravo a fregarti, ma il problema in quel caso è il livello medio dell'utilizzatore di internet ( e qui si entra in un discorso che preferirei evitare :asd: ).

Riguardo il discorso dei "latticini", ripeto che sfruttare programmi come quello usato è assolutamente banale. Qualche anno fa ci fu un'epidemia di deface, causa un bug di IIS 4, in 10 secondi e con un solo comando era possibile cambiare l'homepage di un sito. Abilità richiesta: zero. La gioia degli script-kiddies e dei 15enni cazzoni.

Dove sta il problema allora? Nel caso di IIS, si trattò di uno dei tanti bachi, non rilevati in fase di coding, come ce ne sono ogni mese su ogni sistema operativo.

Nel caso di Poste, invece, la colpa è del fornitore che ha fatto il sito salastampa per PI.

Colpa dei coder o di chi ha supervisionato il progetto, questo non posso saperlo, di sicuro purtroppo la cultura del "safe coding" ancora non c'è. Almeno in certi ambiti, dove si tende solo a far quadrare i conti in base ai soldi vinti con la commessa.

Stiamo parlando di SQL Injection, roba che dovrebbero insegnare e di cui ogni sviluppatore dovrebbe preoccuparsi ( al pari di tutti gli altri bug ampiamente noti e sfruttabili da mesi e anni ).

Se vogliamo dare una colpa a Poste, è quella di non aver ancora previsto dei VA ( vulnerability assessment ) applicativi, oltre a quelli legati ai sistemi operativi...

Spero di averti chiarito qualche dubbio. :)

Grazie per risposta e pazienza.
E' un piacere per me discutere di queste cose, non perché abbia intenzione di defacciare :D ma per cultura informatica web in generale.

Non nutro dubbi sulla facilità di entrare in alcune situazioni, c'è anche addirittura chi lascia password nel web o usa password di 3-4 parole in alcuni casi.
So, per sentito dire, che gli attacchi XSS sono tra i più efficaci e anche di non facile contrasto.

Quello su cui vorrei discutere, se vogliamo, è se la situazione di questo caso poteva o no portare a situazioni più serie (accesso ai dati sensibili e altro).

C'è qualcuno che ha dati più dettagliati circa l'effettiva entità dell'attacco?
Inoltre, è evidente che i dati salvati su database siano collegati al motore (php, asp, ssi) del sito.

Il fatto, per esempio, di aver avuto accesso alla shell avrebbe potuto mettere gli hackers in grado di leggere alcuni file sul server, tipo quelli in cui sono presenti i dati di accesso al database?
:rolleyes:

Grazie per risposta e pazienza.
E' un piacere per me discutere di queste cose, non perché abbia intenzione di defacciare :D ma per cultura informatica web in generale.

Non nutro dubbi sulla facilità di entrare in alcune situazioni, c'è anche addirittura chi lascia password nel web o usa password di 3-4 parole in alcuni casi.
So, per sentito dire, che gli attacchi XSS sono tra i più efficaci e anche di non facile contrasto.

Quello su cui vorrei discutere, se vogliamo, è se la situazione di questo caso poteva o no portare a situazioni più serie (accesso ai dati sensibili e altro).

C'è qualcuno che ha dati più dettagliati circa l'effettiva entità dell'attacco?
Inoltre, è evidente che i dati salvati su database siano collegati al motore (php, asp, ssi) del sito.

Il fatto, per esempio, di aver avuto accesso alla shell avrebbe potuto mettere gli hackers in grado di leggere alcuni file sul server, tipo quelli in cui sono presenti i dati di accesso al database?
:rolleyes:

Allora, entriamo ancora di più nel dettaglio: di norma un sistema che offre quel tipo servizi di home banking è fatto a tre livelli, te ne posso dare certezza per la versione di Poste sia per i privati che soprattutto per le imprese, avendoci lavorato:

frontend-->application layer-->database applicativo+database host dipartimentale.

I frontend parlano con gli application tramite un plugin fornito dal middleware, dove girano le applicazioni. Ergo nei frontend non c'è alcun dato di autenticazione. Di conseguenza dai webserver è impossibile arrivare al database, anzi, le uniche porte aperte dai web server ( che si trovano su uno layer separato rispetto al resto dell'infrastruttura ) verso gli application sono quelle applicative. Quindi non è possibile tentare di loggarsi con una shell ( SSH, ad esempio ) sugli application server, visto che ogni altra porta differente da quelle su cui sono in ascolto le applicazioni è chiusa.

E già questo basta per segare ogni velleità di raggiungere l'anagrafica.

Sono poi gli AS che si connettono al proprio DB, dove potrebbero esserci dei dati di autenticazione e al sistema HOST dove risiede il vero cuore di una banca. E qui, ovviamente, le policy di accesso e di autenticazione sono, o almeno dovrebbero essere, ancora più restrittive.

I furti di enormi liste di dati personali, molto più frequenti oltreoceano, sono nella stragrande maggior parte causa di qualche "interno", a volta di servizi o server di test esposti e dimenticati.

Come vedi, è tutt'altro che evidente il fatto che dal web sia immediatamente possibile accedere al database. ;)

Ti ringrazio molto per avermi illustrato il funzionamento di un sistema bancario on-line da quello che si evince dalla tua descrizione dettagliata si va in profondità nei vari livelli del sistema e più gli accessi si restringono, ora molte cose mi sono molto più chiare .
grazie

Ti ringrazio molto per avermi illustrato il funzionamento di un sistema bancario on-line da quello che si evince dalla tua descrizione dettagliata si va in profondità nei vari livelli del sistema e più gli accessi si restringono, ora molte cose mi sono molto più chiare .
grazie

Di nulla. ;)

Da correntista sono il primo a dire che la sicurezza dell'home banking di Poste è alquanto scarsa ( perlomeno finché non prenderanno la certificazione Visa con annessa integrazione di un token ) però i falsi allarmismi, come in questo caso, preferisco smontarli.

Detto questo, sto passando tutto su un'altra banca. :asd:

Polizia postale scopre hacker sito Poste, anche un 17enne

ROMA - C'é anche un diciassettenne tra i tre autori del recente attacco al sito telematico delle Poste scoperti dalla Polizia postale. Il fatto risale al 10 ottobre scorso, quando la home page del sito era stata artatamente alterata e di fatto resa irraggiungibile ai numerosi utenti di Poste Italiane. Stamane la polizia ha perquisito le abitazioni dei tre indagati, tutti molto giovani. Le complesse indagini svolte dagli investigatori del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche del servizio Polizia postale e delle comunicazioni sono state coordinate dal sostituto procuratore Giuseppe Corasaniti del pool dei magistrati della Procura di Roma specializzati sul cyber crime. Sono state ricavate, fa sapere la polizia, ampie conferme delle ipotesi investigative e sequestrato copioso materiale informatico, ora al vaglio dei cyber-poliziotti. L'operazione ha visto impegnati, oltre il Servizio centrale della Polizia delle Comunicazioni, anche vari compartimenti regionali della Polizia postale.

Fonte: http://www.ansa.it/web/notizie/rubriche/associata/2009/11/25/visualizza_new.html_1621131291.html