Se ne sa nulla?

http://gaming.ngi.it/showthread.php?t=502360

...

dovrebbe essere e speriamo sia solo un deface della homepage :/

dovrebbe essere e speriamo sia solo un deface della homepage :/

Beh, non è poco.

Beh, non è poco.

beh non è moltissimo..l'importante è che i dati dei milioni di utenti siano salvi :/

ah, il bug del sito era online già da tempo, se ne son infischiati e questi sono i risultati

beh non è moltissimo..l'importante è che i dati dei milioni di utenti siano salvi :/

ah, il bug del sito era online già da tempo, se ne son infischiati e questi sono i risultati

http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/


per ora...

avevo 4 euro sulla postepay:cry: faccio bene a non fidarmi dell'online :ciapet:

Makkekkazz...

ho appena caricato 400 sacchi sulla PostePay... meglio che tengo la ricevuta, va'...

http://img132.imageshack.us/img132/6373/defacciato.png (http://img132.imageshack.us/i/defacciato.png/) http://img132.imageshack.us/img132/defacciato.png/1/w710.png (http://g.imageshack.us/img132/defacciato.png/1/)

Makkekkazz...

ho appena caricato 400 sacchi sulla PostePay... meglio che tengo la ricevuta, va'...

Anch'io avevo più di 400 € sulla Postepay... :cry:

Spero di non aver perso tutto....

spendiamoci tutto stasera, va'... :D

Oramai non ci resta che quello!

08-10-09
POSTE: SARMI, CON RUSSIAN POST PAGAMENTI ONLINE PIU' SICURI


(ASCA) - Roma, 8 ott - ''La collaborazione con Russian Post rendera' ancora piu' sicure le operazioni di pagamento on line''. Lo ha dichiarato oggi l'amministratore delegato di Poste Italiane, Massimo Sarmi, al Gr2 Radio Rai, all'indomani della visita della delegazione russa al centro informatico del Gruppo di viale Europa.

''Internet e' uno strumento alla portata di tutti.

Dobbiamo pero' destare attenzione ai furti di identita' e ai tentativi di truffe che si originano in diversi Stati - ha proseguito Sarmi -. Questo punto costituisce uno degli aspetti piu' innovativi dell'accordo. Lo scambio internazionale riguarda poi la possibilita' di seguire le merci che da un paese transitano verso altri, e di trasferire facilmente denaro tramite strumenti di pagamento elettronici o con il telefonino''.

Poste Italiane mantiene, dunque, il ruolo di capofila tra gli operatori postali europei. Il governo albanese, infatti, ha di recente siglato un'intesa con il Gruppo guidato da Massimo Sarmi, mirato a modernizzare il proprio sistema postale. Con Finmeccanica, invece, Poste Italiane e' impegnata in una partnership per sviluppare e fornire piattaforme tecnologiche e soluzioni innovative all'operatore postale egiziano.

http://www.asca.it/news-POSTE__SARMI__CON_RUSSIAN_POST_PAGAMENTI_ONLINE_PIU__SICURI-865309-ORA-.html

al momento il sito è irraggiungibile

certo che è grave per la miseria...

al momento il sito è irraggiungibile

certo che è grave per la miseria...

Sola la home page e' irrangiungibile.

usti miseria ma volete farmi venire un colpo,ho il conto da loro :eek: :cry:
PER FORTUNA,l'indirizzo https://bancopostaonline.poste.it è sù,e da lì che si gestisce il conto,e per adesso sembra tutto ok (cioè è vuoto,ma quello è colpa mia purtroppo :D :) :( )

è vero la pagina dei servizi on-line è attiva e funzionante

che figura che ci fanno però...

è già offline ^^


Chi mi passa il link per i servizi?

è già offline ^^


Chi mi passa il link per i servizi?

Cerca "poste italiane" con google ed hai i link ai servizi.

è già offline ^^


Chi mi passa il link per i servizi?

scrivi poste.it su google e ti vengono fuori tutti i vari link ;)
o c'è qualche hacker di passaggio che può dirci quanto la cosa è grave? il fatto che abbiano attaccato solo poste.it (bancoposta,postepay e tutti gli altri link sembrano andare) è un bene? (dio sò già che starò sù a far ricarica su sto thread tutta la notte :cry: )

scrivi poste.it su google e ti vengono fuori tutti i vari link ;)
o c'è qualche hacker di passaggio che può dirci quanto la cosa è grave? il fatto che abbiano attaccato solo poste.it (bancoposta,postepay e tutti gli altri link sembrano andare) è un bene? (dio sò già che starò sù a far ricarica su sto thread tutta la notte :cry: )

Hanno cambiato solo la home page. A livello di immagine colpo notevole ma da li ad attaccare i dati sensibili ce ne corre e tanto.

Cerca "poste italiane" con google ed hai i link ai servizi.

Sì, alla fine ho fatto così, grazie cmq ;)

Ps: su gogle è rimasto in cash il titolo e la home :asd:

:eek:

meno male che ho svuotato la postepay ieri

http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/


per ora...

5th Sept >.>

http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/


per ora...

questo pero' e' inquietante. :eek:

Hanno cambiato solo la home page. A livello di immagine colpo notevole ma da li ad attaccare i dati sensibili ce ne corre e tanto.

già. state tranquilli :)

Anche postecert è down, come mi segnala un mio amico dall'authority.

Hanno cambiato solo la home page. A livello di immagine colpo notevole ma da li ad attaccare i dati sensibili ce ne corre e tanto.

*

come scritto anche nell'altro thread

credo appunto in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

ricordo inoltre che anche se fossero riusciti ad accedere alle informazioni nel database sulla colonna "password" di ogni utente, sappiate che per motivi di sicurezza sono tutte cifrate nello standard md5! quindi praticamente impossibili da decifrare a meno che non sia un codice md5 di una parola talmente usata che sia possa fare un reverse, ciò non toglie il fatto che appena avrete accesso al vostro account di cambiare la password per una sicurezza ancora maggiore, cosi vi togliete qualsiasi dubbio, ma penso che lo stia già facendo poste italiane per voi ;)

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

in conclusione penso che nessuno abbia rubato niente a nessuno, si tratta di atti intimidatori che vogliono mostrare il disinteressamento da parte di poste italiane nella sicurezza dei loro contenuti

Si si le poste stanno già cambiando i vostri profili,arriverà in giornata un email dalle poste piena di errori grammaticali che chiede di loggarsi con nome e pass per motivi di recupero,voi mi raccomando cliccate sul link che rimanda ad un sito russo e scrivete i vostri dati. :asd:
NON FATELO
:asd:

come scritto anche nell'altro thread

credo appunto in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

ricordo inoltre che anche se fossero riusciti ad accedere alle informazioni nel database sulla colonna "password" di ogni utente, sappiate che per motivi di sicurezza sono tutte cifrate nello standard md5! quindi praticamente impossibili da decifrare a meno che non sia un codice md5 di una parola talmente usata che sia possa fare un reverse, ciò non toglie il fatto che appena avrete accesso al vostro account di cambiare la password per una sicurezza ancora maggiore, cosi vi togliete qualsiasi dubbio, ma penso che lo stia già facendo poste italiane per voi ;)

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

in conclusione penso che nessuno abbia rubato niente a nessuno, si tratta di atti intimidatori che vogliono mostrare il disinteressamento da parte di poste italiane nella sicurezza dei loro contenuti

Quoto e segnalo che la home page in lingua inglese e' visibile.

Si si le poste stanno già cambiando i vostri profili,arriverà in giornata un email dalle poste piena di errori grammaticali che chiede di loggarsi con nome e pass per motivi di recupero,voi mi raccomando cliccate sul link che rimanda ad un sito russo e scrivete i vostri dati. :asd:
NON FATELO
:asd:

bravo, sei stato pronto a ricordarlo :D

no come sempre le poste non vi chiederanno nulla per e-mail

il cambio dovrà essere automatico, quindi quando proverete ad accedere il login vi farà uscire per "errore password" e vi darà il messaggio che sarete costretti a fare un "forget password" per ritrovare accesso al sito delle poste e cambiare finalmente con una nuova.

come scritto anche nell'altro thread

credo appunto in una semplice sostituzione di pagina sfruttando qualche semplice falla nel server, arrivare sino ai database contenenti informazioni sui conti la vedo invece un pò più diversa come cosa....

ricordo inoltre che anche se fossero riusciti ad accedere alle informazioni nel database sulla colonna "password" di ogni utente, sappiate che per motivi di sicurezza sono tutte cifrate nello standard md5! quindi praticamente impossibili da decifrare a meno che non sia un codice md5 di una parola talmente usata che sia possa fare un reverse, ciò non toglie il fatto che appena avrete accesso al vostro account di cambiare la password per una sicurezza ancora maggiore, cosi vi togliete qualsiasi dubbio, ma penso che lo stia già facendo poste italiane per voi ;)

e ovviamente hanno tagliato la connessione alla porta 80 del server per poter quantomeno fare il backup dei log di accesso (utili per le indagini) e ripristinare al più presto il contenuto che sarà prontamente revisionato per la correzione di eventuali falle

in conclusione penso che nessuno abbia rubato niente a nessuno, si tratta di atti intimidatori che vogliono mostrare il disinteressamento da parte di poste italiane nella sicurezza dei loro contenuti
come minimo passeranno sul db le password in chiaro :asd:

L'attacco è stato immediatamente rilevato dal servizio di sicurezza di Poste Italiane, che ha avvisato la Polizia postale. Immediate sono scattate le indagini per risalire ai responsabili: sarebbe già stato individuato l'ultimo punto - cioè l'ultimo computer - da dove è partito l'attacco.

Sicuramente un buon lavoro fatto dagli amici della postale, ma che servirà a ben poco visto che chi ha fatto l'attacco molto probabilmente ha usato quest'ultima macchina ip come proxy server che magari sempre per caso non tiene traccia dei log di connessione per motivi di privacy (ne esistono a milioni anche tenuti sotto rete in italia).

Quindi dovranno avere un bel colpo di fortuna per capire almeno se questo tipo di attacco potrà essere ripetuto nelle prossime ore su qualche altro sito, cosa difficile visto che hanno colpito già un sito abbastanza popolare e in cima alla loro lista hacking :D :D

*

Tu che ne pensi delle dichiarazioni del mitnick qui sopra sull'inviolabilità dell'md5, visto che credo te ne intenda abbastanza, a giudicare dal tuo cv? :D

come minimo passeranno sul db le password in chiaro :asd:

no assolutamente non lo farebbe neanche il più stupido dei più stupidi dei programmatori php/asp al mondo credimi.

Il più delle volte quando viene eseguito per la prima volta il comando "create table" nelle più tra le diverse versioni di database viene data la possibilità di imposta una colonna dati per il trattamento di codici md5, in sostanza ogni volta che quindi viene reimpostata la password o creata, il comando "update" o "insert into 'utenti_posteitaliane'" tramite il database senza bisogno di ulteriori chiarimenti di linguaggio lato server, cripta immediatamente il codice, in questo caso la password dell'utente che fa richiesta del comando.

No no è abbastanza remota la possibilità che le password vengano registrate in chiaro su una colonna dati di tipo 'text'....sarebbe fantascenza....se è cosi linciamo quello che ha fatto questa cazzata :D :D :D

:rolleyes:
Un deface ci può stare, non la vedo cosi tragica.
Sopratutto perchè nel giro di 30min hanno chiuso tutto. (Sabato, 20.30..)
Sicuramente i dati sensibili si trovano su altri Server e non dove viene ospitato il sito web.

Tu che ne pensi delle dichiarazioni del mitnick qui sopra sull'inviolabilità dell'md5, visto che credo te ne intenda abbastanza, a giudicare dal tuo cv? :D

vediamo di fare un pò di chiarezza, so che l'attacco di stasera ha un pò messo sull'attenti chiunque abbia un conto postepay, ma non facciamoci prendere dal panico

L’MD5 è un algoritmo per la crittografia dei dati, che prendendo in ingresso una stringa di qualsiasi lunghezza ne produce un’altra da 128 bit, ovvero di 32 caratteri esadecimali. Questo algoritmo viene molto usato per crittografare le password in diverse piattaforme web

ora quando prima parlavo di decriptare una password md5 intendevo questo

avete presenti la maggiore parte dei siti come questo?

http://www.schwett.com/md5/ (simili a questo ce ne sono altri, tutti spesso si aggiornano le informazioni tra loro)

si chiama il cosidetto "reverse md5"

in pratica ogni volta che inserite una parola e ne calcolate l'md5, ne viene presa nota, e quando un altro andrà a fare il reverse md5 su questo sito mettendo il codice, esso vi restituirà la parola da cui proviene, ma solo perchè qualcun altro prima ne ha fatto il calcolo e ne è stata salva la cosidetta "traduzione", perchè tecnicamente parlando non si può fare un calcolo inverso per trovare una password md5 altrimenti sarebbe da stupidi usarlo

poi ci sarebbe da fare un discorso immenso ancora sul reversing o su simili ma tanto inutili per la nostra situazione

i nostri dati sensibili delle poste italiane, stanno al sicuro nei loro bei database enormi da milioni di terabyte senza essere non solo stati visti ma senza nemmeno essere toccati, visto che per l'esecuzione di modifiche sono necessari i permessi dell'amministratore generale (o del server se siano riusciti veramente a truffare il tutto), ma qui stiamo andando oltre.... lol

vediamo di fare un pò di chiarezza, so che l'attacco di stasera ha un pò messo sull'attenti chiunque abbia un conto postepay, ma non facciamoci prendere dal panico

Assolutamente no :) Il panico in questo caso è del tutto fuori luogo. ;)

LuVi

Assolutamente no :) Il panico in questo caso è del tutto fuori luogo. ;)

LuVi

meglio cosi allora ;)

certo una qualche scusa da parte delle poste riguardo al ripetersi nei numerosi "bug" pubblicati su alcuni articoli, un pò è di dovere.
la prossima volta prenderanno un pò più sul serio questi fatti, che spesso sono sottovalutati

alla fine stasera finisco per essere indagato io, meglio che mi stia zitto, ahaha :D

secondo me è stato un tentativo andato poco male di kevin mitnick che sta cercando di riprendere mano con la tecnica dell'hacking

e comunque per fare operazioni con il conto bancoposta non basta entrare nell'account ma c'è bisogno anche dell'apposito lettore di bancomat/carta di credito per generare i codici monouso da usare nelle operazioni ;)
cmq rimane l'astronomic epic fail per le poste :asd:

cmq rimane l'astronomic epic fail per le poste :asd:

ahahahah , vero !

ma allora noi possiamo dire... io c'ero ? :D

Speriamo che gli hackers riescano a risalire alla mia password, perché io l'ho persa. :fagiano:

Speriamo che gli hackers riescano a risalire alla mia password, perché io l'ho persa. :fagiano:

mandagli un e-mail :read: :D

comunque i tentativi di hacking verso queste grosse aziende, non devono essere visti sempre come qualcosa di negativo, quello che invece non è piacevole è vedere un'azienda messa cosi in alto a farsi "fregare" in fattore sicurezza dal primo che passa, anche se è ovvio che l'attacco è stato studiato in modo dettagliato da mesi.

Quello che intendo dire è che forze solo dopo questo chiamiamolo "attacco" e dopo tutte le assunzioni di responsabilità pressanti e i problemi che avranno da domani le poste e sul motivo per il quale dovranno definire tale attacco, finiranno per assumere in un futuro finalmente gente più competente nella creazione dei form e contenuti all'interno di poste.it

persone che non siano assunte con contratti assurdi dagli ormai noti reparti IBM che si affidano sempre più spesso a tecnologie ormai morte o persone che abbiano passato gli "anta", ma a gente un pò più efficente, probabilmente cosi facendo almeno in un primo tempo si penserà ad aggiornare un pò meno frequentemente il template per far apparire la bellezza grafica del sito e un pò più a dedicarsi all'opera detta "fixing"

perchè poi tutto quello che graficamente è bello da vedere e da far mostrare non significa che poi è anche sicuro.

mandagli un e-mail :read: :D

comunque i tentativi di hacking verso queste grosse aziende, non devono essere visti sempre come qualcosa di negativo, quello che invece non è piacevole è vedere un'azienda messa cosi in alto a farsi "fregare" in fattore sicurezza dal primo che passa, anche se è ovvio che l'attacco è stato studiato in modo dettagliato da mesi.

Quello che intendo dire è che forze solo dopo questo chiamiamolo "attacco" e dopo tutte le assunzioni di responsabilità pressanti e i problemi che avranno da domani le poste e sul motivo per il quale dovranno definire tale attacco, finiranno per assumere in un futuro finalmente gente più competente nella creazione dei form e contenuti all'interno di poste.it

persone che non siano assunte con contratti assurdi dagli ormai noti reparti IBM che si affidano sempre più spesso a tecnologie ormai morte o persone che abbiano passato gli "anta", ma a gente un pò più efficente, probabilmente cosi facendo almeno in un primo tempo si penserà ad aggiornare un pò meno frequentemente il template per far apparire la bellezza grafica del sito e un pò più a dedicarsi all'opera detta "fixing"

perchè poi tutto quello che graficamente è bello da vedere e da far mostrare non significa che poi è anche sicuro.

sono d'accordo, semmai riusciranno a prendere questi due ragazzi che hanno hackato poste.it, fossi io l'amministratore delegato di poste italiane gli proporrei un contratto ;)

sono d'accordo, semmai riusciranno a prendere questi due ragazzi che hanno hackato poste.it, fossi io l'amministratore delegato di poste italiane gli proporrei un contratto ;)

è quello che infatti succede :D

per l'appunto Kevin Mitnick dopo i suoi problemi con la giustizia fu assunto dalle principali aziende di sicurezza informatica :fagiano:

Speriamo che gli hackers riescano a risalire alla mia password, perché io l'ho persa. :fagiano:

:sbonk:

sono d'accordo, semmai riusciranno a prendere questi due ragazzi che hanno hackato poste.it, fossi io l'amministratore delegato di poste italiane gli proporrei un contratto ;)

cosa molto sensata ma anche molto improbabile (in italia)

epic fail per poste.it, se hanno semplicemente defacciato poste.it senza aver preso veramente nessun dato hanno tutta la mia stima quei 2 tipi :)

Hanno cambiato solo la home page. A livello di immagine colpo notevole ma da li ad attaccare i dati sensibili ce ne corre e tanto.

beh oddio, se hanno avuto accesso alla dmz potenzialmente potrebbero aver lasciato cavalli di troia a loggare password amministrative da settimane. Tanto più che un amministratore di rete che si fa fare certe cose non mi ispira molta professionalità.

Mi sembra che sia tornato tutto OK, appena controllato, account password e soldi sulla postepay sono in ordine...

Tutto up and running. E manco un comunicato da parte loro :asd:

...

Volevo aprirmi un conto bancoposta click, ma dopo questo evento me ne guardo bene. Lo so che gli hacker probabilmente hanno solo defacciato il sito e non hanno avuto accesso ai database con le informazioni sensibili, ma non mi interessa: l'evento stesso e come è stato gestito (sia prima che dopo) mi hanno convinto che non le Poste non sono sufficientemente affidabili.

Che figuraccia :fagiano:

Gli conviene proprio che la cosa non si sappia in giro altrimenti addio poste :asd:

le banche mica se la passano meglio, tutto e hacherabile.

Volevo aprirmi un conto bancoposta click, ma dopo questo evento me ne guardo bene. Lo so che gli hacker probabilmente hanno solo defacciato il sito e non hanno avuto accesso ai database con le informazioni sensibili, ma non mi interessa: l'evento stesso e come è stato gestito (sia prima che dopo) mi hanno convinto che non le Poste non sono sufficientemente affidabili.

Nel settore dell'IT, la reputazione è tutto.
Comunque fottere i soldi dalle poste è un pò difficile, credo.
Non puoi trasferirli facilmente in banche o quant'altro... e metterli sul tuo conto bancoposta o sulla tua postepay sarebbe un pò... come dire... stupido? :D

Tutto questo ammesso e non concesso che siano riusciti a raggiungere la rete aziendale. Errore madornale delle poste che non hanno buttato fuori un comunicato, almeno sarebbe servito a rassicurare la clientela. Ma d'altra parte, se preferiscono il STO...

http://i.imagehost.org/t/0665/Schermata.jpg (http://i.imagehost.org/view/0665/Schermata)

:sofico:

LOL! :D

Tutto questo ammesso e non concesso che siano riusciti a raggiungere la rete aziendale. Errore madornale delle poste che non hanno buttato fuori un comunicato, almeno sarebbe servito a rassicurare la clientela. Ma d'altra parte, se preferiscono il STO...
Difatti più che il defacciamento, che rimane comunque molto criticabile, io critico la gestione dell'avvenimento, sia prima che dopo. A quanto pare le Poste erano state messe al corrente dell'esistenza di diversi bachi settimane prima dell'hacking, almeno da quello che si legge in giro per i forum, e comunque dopo non hanno emesso nessun comunicato ufficiale, per spiegare l'entità dell'hacking e scusarsi. :rolleyes:

Poste: polizia postale individua pc usato per attacco hacker.

Portale oscurato da cybercriminali, polizia postale ha individuato il pc responsabile

Il resto e' qui: http://www.ansa.it/web/notizie/rubriche/tecnologia/2009/10/10/visualizza_new.html_986730829.html

Poste: polizia postale individua pc usato per attacco hacker.

Portale oscurato da cybercriminali, polizia postale ha individuato il pc responsabile

Il resto e' qui: http://www.ansa.it/web/notizie/rubriche/tecnologia/2009/10/10/visualizza_new.html_986730829.html

Gli hacker erano riusciti a 'sfigurare' la home page ma non sono riusciti a rubare dati sensibili e password, grazie all'intervento immediato dell'ufficio di sicurezza di Poste e della polizia postale, che monitora costantemente i siti istituzionali che potrebbero essere scelti come obiettivo dai pirati informatici.

ah beh... nell'IT delle poste ci sono persone che hanno fatto questa figura da cioccolatai, però la polizia postale monitora costantemente il sito premendo F5 :D
passate a fineco o webank o simili.. che queste figure da dilettanti non le fanno (le ultime parole famose.. ora verranno defacciati pure loro :asd:).

ma monitora e' italiano ? non dovrebbe essere monitorizza ??? Chiedo lumi....

ma monitora e' italiano ? non dovrebbe essere monitorizza ??? Chiedo lumi....

forse hai ragione, come molti altri termini "informatici" spesso si storpia per consuetudine la relativa parola inglese ;)
anche "defacciati" è un termine nato allo stesso modo.

ma monitora e' italiano ? non dovrebbe essere monitorizza ??? Chiedo lumi....

forse hai ragione, come molti altri termini "informatici" spesso si storpia per consuetudine la relativa parola inglese ;)
anche "defacciati" è un termine nato allo stesso modo.

no no è giusto

io monìtoro..

correggo sempre il mio responsabile che utilizza "monitorizzo"..e non si può sentire :)

monitoreggio :O

intervistato il responsabile sicurezza poste al tg5, "nessuna lacuna del sistema" "solo un problema software"
:asd:

si infatti... visto anche io quello delle 13 e qualcosa... però l'hanno detto anche stamattina al servizio delle 8:10(quì sotto il link).

Link al video: Video Servizio (http://www.video.mediaset.it/mplayer.html?sito=tg5&data=2009/10/11&id=39751&from=aggregatore_programmi_tg5_2008)

Ciao!

Tu che ne pensi delle dichiarazioni del mitnick qui sopra sull'inviolabilità dell'md5, visto che credo te ne intenda abbastanza, a giudicare dal tuo cv? :D

l'MD5 è attualmente tecnicamente considerato insicuro, così come SHA1. Tuttavia è ancora ampiamente utilizzato, perché l'attacco al sistema di hashing è abbastanza complesso da effettuare.

Comunque nel 2005 è stata dimostrata la possibilità di collisioni di hashing per MD5. Ciò significa che è tecnicamente possibile ottenere lo stesso hash partendo da due input differenti.

Nel 2006 è stato dimostrato come ottenere una collisione nel giro di qualche minuto (pdf (http://eprint.iacr.org/2006/105.pdf))

Poste: polizia postale individua pc usato per attacco hacker.

Portale oscurato da cybercriminali, polizia postale ha individuato il pc responsabile

Il resto e' qui: http://www.ansa.it/web/notizie/rubriche/tecnologia/2009/10/10/visualizza_new.html_986730829.html

probabilmente è vera questa notizia, ma è anche risaputo che in polizia postale lavorano certamente ex hacker ;)

ah beh... nell'IT delle poste ci sono persone che hanno fatto questa figura da cioccolatai, però la polizia postale monitora costantemente il sito premendo F5 :D
passate a fineco o webank o simili.. che queste figure da dilettanti non le fanno (le ultime parole famose.. ora verranno defacciati pure loro :asd:).

Beh, per il monitoraggio si usa qualcosa di diverso da F5, e non è fatto in manuale, ed è distribuito sul territorio ;)

LuVi

Il comunicato di poste.it:

Ripristinata l'home page del sito dopo l'attacco di defacement. Mai stati in pericolo i dati dei correntisti
L'attacco di defacement, una delle forme più frequenti di hackeraggio contro i siti italiani, che ha interessato nella serata di sabato 10 ottobre il sito di Poste Italiane è stato tempestivamente bloccato dal sistema di sicurezza interno dell'azienda. Tutti i dati e le informazioni contenuti nel sito non sono stati violati.
I tecnici di Poste Italiane e la Polizia postale - con l'ausilio della sofisticata sala di sicurezza per il controllo della rete allestita presso la sede di Poste Italiane a Roma - hanno intensificato i controlli per identificarne gli autori e sono già sulle tracce degli hacker.

l'MD5 è attualmente tecnicamente considerato insicuro, così come SHA1. Tuttavia è ancora ampiamente utilizzato, perché l'attacco al sistema di hashing è abbastanza complesso da effettuare.

Comunque nel 2005 è stata dimostrata la possibilità di collisioni di hashing per MD5. Ciò significa che è tecnicamente possibile ottenere lo stesso hash partendo da due input differenti.

Nel 2006 è stato dimostrato come ottenere una collisione nel giro di qualche minuto (pdf (http://eprint.iacr.org/2006/105.pdf))

Traduco a parole povere e per rendere bene l'idea: usare l'MD5 è insicuro perché un eventuale attaccante è potenzialmente in grado di rigenerare lo stesso hash con una password differente.

Spiegato meglio: l'utente Duilio Giamboni inserisce la sua password per accedere al sistema. La password viene trasformata in un hash MD5 e viene comparata con l'hash salvato nel database (l'hash era stato creato la prima volta quando l'utente si era registrato e aveva inserito la sua password personale). L'hash dovrebbe essere assolutamente unico, cioè ad uno specifico testo (password in questo caso) corrisponde uno ed un solo hash.

Cosa garantisce questo (tra le tante cose)? Che se il database venisse bucato, le password non sarebbero in chiaro ma salvate sottoforma di hash. Dall'hash è tecnicamente impossibile tornare alla password in chiaro, perché la funzione di hashing è una funzione non invertibile.

Per cui tutti al sicuro? No, perché è stato dimostrato che l'MD5 ha alcune vulnerabilità che permettono di ottenere lo stesso hash con input differenti.

Quindi, tecnicamente, conoscendo l'hash MD5, il pirata informatico PincoPallino potrebbe creare una password ad hoc per ottenere lo stesso hash, avendo così accesso al sistema pur non conoscendo la password originale.

Spero sia più chiaro :)

Chiarissimo capo :O

Beh, per il monitoraggio si usa qualcosa di diverso da F5, e non è fatto in manuale, ed è distribuito sul territorio ;)

LuVi

lo so.. li prendevo in giro :p
anche se il problema non è il monitoraggio del danno quando è avvenuto ma evitare che questi problemi succedano in partenza.

A me piacerebbe che qui qualcuno volesse entrare in merito alla questione tecnica di cosa è successo esattamente e come è stato fatto ma pare non ci sia nessuno con le competenze adatte nemmeno tra quelli che avrebbero voluto far credere di averle...

Certo questo non è un forum sull'hacking però...
Trovata la pagina vulnerabile a js injection? Verificato che oggi, alla riapertura del servizio il codice vulnerabile era stato modificato? No ??
Allora non è tutto a posto come tutti dicono... (compreso posteitaliane)

E' giusto non spargere il panico, ma questa tendenza malsana delle istituzioni e delle grosse compagnie a voler far credere che "è sempre tutto sotto controllo" grazie a l' "ottimo operato degli amici della polizia postale" deve essere smascherata...

FULL DISCLOSURE, voglio un incident report dettagliato, certo non sulla homepage del sito (non fregherebbe al 99% della gente e sarebbe lesivo d'immagine) ma deve saltare fuori sui siti di sicurezza, non vale insabbiare tutto, bisogna fare una stima del reale pericolo che gli utenti hanno corso.

Ad esempio io non sono così convinto come tutti i sedicenti esperti in questo thread dicono (e come dice posteitaliane) che i dati degli utenti siano stati in ogni caso inaccessibili...
Come fate a dirlo se non sapete ESATTAMENTE (parlo di codice eseguito!) cosa è successo? Oppure se lo sapete e non volete dircelo vuol dire che qualcosina da nascondere cè l'avete...

Insomma non capisco tutta la tranquillità e l'ottimismo per un fatto gravissimo come questo... Ma forse sono io che pretendo troppo dal forum hwupgrade e devo avviare un dibattito costruttivo altrove

Via, con qualcosa (http://unu1234567.baywords.com/files/2009/09/dbloginpass.JPG) qualcuno si è divertito :D

Ad esempio io non sono così convinto come tutti i sedicenti esperti in questo thread dicono (e come dice posteitaliane) che i dati degli utenti siano stati in ogni caso inaccessibili...
Come fate a dirlo se non sapete ESATTAMENTE (parlo di codice eseguito!) cosa è successo? Oppure se lo sapete e non volete dircelo vuol dire che qualcosina da nascondere cè l'avete...


io dicevo il contrario..

Via, con qualcosa (http://unu1234567.baywords.com/files/2009/09/dbloginpass.JPG) qualcuno si è divertito :D

ecco, cvd ;)

Eh.. Appunto eraser! :D Non è chiarissimo su quel blog ma pare che QUELLA sia la vulnerabilità che ha permesso al sito di essere defacciato.

SEGNALATA IL 5 SETTEMBRE a Poste Italiane e prontamente ignorata dallo staff IT. Altro che nessun pericolo per gli utenti...

io dicevo il contrario..

Infatti non mi riferivo a te ;)

Eh.. Appunto eraser! :D Non è chiarissimo su quel blog ma pare che QUELLA sia la vulnerabilità che ha permesso al sito di essere defacciato.

SEGNALATA IL 5 SETTEMBRE a Poste Italiane e prontamente ignorata dallo staff IT. Altro che nessun pericolo per gli utenti...

Un pen-tester che ha utilizzato un tool famoso nell'underground per effettuare scansioni automatiche alla ricerca di vulnerabilità sql injection. E ne ha trovata una (almeno una)

no assolutamente non lo farebbe neanche il più stupido dei più stupidi dei programmatori php/asp al mondo credimi.

Il più delle volte quando viene eseguito per la prima volta il comando "create table" nelle più tra le diverse versioni di database viene data la possibilità di imposta una colonna dati per il trattamento di codici md5, in sostanza ogni volta che quindi viene reimpostata la password o creata, il comando "update" o "insert into 'utenti_posteitaliane'" tramite il database senza bisogno di ulteriori chiarimenti di linguaggio lato server, cripta immediatamente il codice, in questo caso la password dell'utente che fa richiesta del comando.

No no è abbastanza remota la possibilità che le password vengano registrate in chiaro su una colonna dati di tipo 'text'....sarebbe fantascenza....se è cosi linciamo quello che ha fatto questa cazzata :D :D :D

dipende dall'intelligenza di chi scrive codice :asd:
c'è anche chi si vanterebbe della scelta dicendo che così è più performante :asd:

oddio non mi sembra tanto complesso l'attacco all'MD5 ci sono dei programmini che a suon di bruteforce con la potenza delle schede video arrivano a miliardi di password al secondo e in pochi minuti ti trovano la password certo c'è la possibilità che sia una collisione e non la password originale ma il risultato di entrarti nell'account riescono ad ottenerlo.

Via, con qualcosa (http://unu1234567.baywords.com/files/2009/09/dbloginpass.JPG) qualcuno si è divertito :D

Balle, eviterebbero di mandare mail per carpire utente e password login, per i soldi adesso è ancora più complicato.

è quello che infatti succede :D

per l'appunto Kevin Mitnick dopo i suoi problemi con la giustizia fu assunto dalle principali aziende di sicurezza informatica :fagiano:
fino a che non si è aperto una sua scuola di sicurezza informatica ;)

anche se la specialita' di mitnick era ed è l'ingegneria sociale ;)

Balle, eviterebbero di mandare mail per carpire utente e password login, per i soldi adesso è ancora più complicato.

Ma cosa c'entra il phishing? La pagina iniettabile potrebbe essere stata scoperta solo da alcuni in tempi relativamente recenti (l'unica traccia che si trova in rete è il 5 settembre) il phishing verso poste italiane è una cosa che sta andando avanti da diversi anni, i gruppi dediti al phishing tendenzialmente non sono esperti di sicurezza...

Comunque eraser ha detto "con qualcosa qualcuno si è divertito" non mi sembra che in questo sia implicito che hanno avuto la possibilità di arrivare ai soldi. Scoprire una vulnerabilità di questo tipo è un divertimento immenso di per se :D

Anche le Poste, come tante altre entita' italiche, hanno seri problemi nel gestire la politica del vulnerability assessment (come si traduce in italiano?).

Pagare dei Professionisti (P maiuscola) LPT o CEH ha un costo, ma il ritorno e' immensamente piu' grande. Il problema resta quando il management e' affidato a persone che si son laureate con indirizzi umanistici e non capiscono una beneamata di tecnologie, neanche minimamente.
La domanda che si pongono e': "quanto costa ?"
Ma deficiente, il costo lascialo valutare ad un responsabile di Risk Assessment, tu continua ad andare su YouTube a guardarti i video e il tuo conto in banca !!!!!!

Quand'ero in Italia, uno dei miei boss ad altissimo livello, capo assoluto di un settore della sicurezza delle telecomunicazioni di una ENORME azienda italiana, mi ha fermato nel corridoio dicendomi di andare nel suo ufficio per una domanda estremamente tecnica:

"Che antivirus usi ?"

Questo e' il livello.

Per fortuna non sono tutti cosi. Posso garantirvi pero', per esperienza personale, perche' conosco la struttura, perche' conosco le persone, che vi sono entita' italiane che gestiscono MILIONI di Euro ogni giorno (soldi loro e dei clienti), che hanno le palle poliedriche

Uno di questi e' stato messo in direzione.
Risultato? E' diventato un vero manager, ma non per colpa sua, si e' dovuto adeguare al lavoro che ha avuto, alla promozione, non potendo piu' giocare "sul campo" si ritrova parecchio indietro rispetto all'evoluzione del mondo tecnologia e sicurezza informatica. Adesso se gli parli di SQL Injection o di XSS, te ne parla come un libro stampato, senza avere cognizione di causa...

' OR 1=1/* come diceva qualcuno.....

Perdonatemi lo sfogo...

i gruppi dediti al phishing tendenzialmente non sono esperti di sicurezza...



Eh già sono i classici Bruno il tapezziere e Gino l'arrotino che non hanno lavoro e si barcamenano con un 486.

Eh già sono i classici Bruno il tapezziere e Gino l'arrotino che non hanno lavoro e si barcamenano con un 486.

Il phishing è un giochetto da ragazzi, non lo classificherei nemmeno come hacking.

Quoto Jarni :)

Il phishing è un giochetto da ragazzi, non lo classificherei nemmeno come hacking.

ALT io non parlo del phishing, parlo di quella pagina dove appaiono login e password di alcuni utenti.

ALT io non parlo del phishing, parlo di quella pagina dove appaiono login e password di alcuni utenti.

:confused:

Traduco a parole povere e per rendere bene l'idea: usare l'MD5 è insicuro perché un eventuale attaccante è potenzialmente in grado di rigenerare lo stesso hash con una password differente.

Spiegato meglio: l'utente Duilio Giamboni inserisce la sua password per accedere al sistema. La password viene trasformata in un hash MD5 e viene comparata con l'hash salvato nel database (l'hash era stato creato la prima volta quando l'utente si era registrato e aveva inserito la sua password personale). L'hash dovrebbe essere assolutamente unico, cioè ad uno specifico testo (password in questo caso) corrisponde uno ed un solo hash.

Cosa garantisce questo (tra le tante cose)? Che se il database venisse bucato, le password non sarebbero in chiaro ma salvate sottoforma di hash. Dall'hash è tecnicamente impossibile tornare alla password in chiaro, perché la funzione di hashing è una funzione non invertibile.

Per cui tutti al sicuro? No, perché è stato dimostrato che l'MD5 ha alcune vulnerabilità che permettono di ottenere lo stesso hash con input differenti.

Quindi, tecnicamente, conoscendo l'hash MD5, il pirata informatico PincoPallino potrebbe creare una password ad hoc per ottenere lo stesso hash, avendo così accesso al sistema pur non conoscendo la password originale.

Spero sia più chiaro :)
Faccio una precisazione. Matematicamente un hash è impossibile che sia unico, qualunque sia l'algoritmo passato presente e futuro, se in pasto gli possiamo dare un qualunque input.

Formalmente, posto che da un qualunque messaggio x, con l'algoritmo scelto, si debba ottenere un hash a n bit, è sempre possibile generare un altro messaggio y, con x ovviamente diverso da x, tale che hash(x) = hash(y).

Banalmente, è sufficiente generare (2^n) + 1 messaggi diversi affinché sicuramente si ottengano almeno due messaggi il cui hash calcolato sia identico.

Ciò che importa con gli algoritmi di hash è la loro robustezza. Perché sulla carta per crackare un qualunque algoritmo di hash si dovrebbe ricorrere al classico attacco di tipo brute force. Ma il numero di tentativi da effettuare è enorme (mediamente pari a 2^(n - 1)).

Però, in base al tipo di algoritmo, si possono trovare delle falle che riducono considerevolmente il numero di tentativi, facendolo diventare abbordabile. Ecco perché MD5 prima e SHA1 poi sono stati "crackati".

P.S. Per quanto detto, sconsiglio di generare delle chiavi primarie (o univoche) per le tabelle dei database usando un qualunque algoritmo di hash: l'univocità non è affatto garantita (statisticamente si parla di eventi poco probabili, ma... possono sempre capitare).

:confused:

http://unu1234567.baywords.com/files/2009/09/dbloginpass.JPG

http://unu1234567.baywords.com/files/2009/09/dbloginpass.JPG

E' la schermata di un programma.
Saperlo usare non significa essere un hacker.
Progettarlo sì.

E' la schermata di un programma.
Saperlo usare non significa essere un hacker.
Progettarlo sì.

Sia quel che sia, sono o non sono login e password?

Sia quel che sia, sono o non sono login e password?

Non sono difficili da ottenere se si ha a disposizione una falla abbastanza grossa.

Non sono difficili da ottenere se si ha a disposizione una falla abbastanza grossa.

E quindi alla fine anche Bruno il tapezziere e Gino l'arrotino possono ricavere login e password.

Sia quel che sia, sono o non sono login e password?

NON sono le password... ma l'hash delle password abbinato ad ogni username.

Faccio una precisazione. Matematicamente un hash è impossibile che sia unico, qualunque sia l'algoritmo passato presente e futuro, se in pasto gli possiamo dare un qualunque input.

Formalmente, posto che da un qualunque messaggio x, con l'algoritmo scelto, si debba ottenere un hash a n bit, è sempre possibile generare un altro messaggio y, con x ovviamente diverso da x, tale che hash(x) = hash(y).

Banalmente, è sufficiente generare (2^n) + 1 messaggi diversi affinché sicuramente si ottengano almeno due messaggi il cui hash calcolato sia identico.

Ciò che importa con gli algoritmi di hash è la loro robustezza. Perché sulla carta per crackare un qualunque algoritmo di hash si dovrebbe ricorrere al classico attacco di tipo brute force. Ma il numero di tentativi da effettuare è enorme (mediamente pari a 2^(n - 1)).

Però, in base al tipo di algoritmo, si possono trovare delle falle che riducono considerevolmente il numero di tentativi, facendolo diventare abbordabile. Ecco perché MD5 prima e SHA1 poi sono stati "crackati".

P.S. Per quanto detto, sconsiglio di generare delle chiavi primarie (o univoche) per le tabelle dei database usando un qualunque algoritmo di hash: l'univocità non è affatto garantita (statisticamente si parla di eventi poco probabili, ma... possono sempre capitare).

Hai perfettamente ragione, non volevo scendere troppo nei dettagli per non rendere il concetto piu difficile di quello che già era :) (e comunque su tutte le definizioni matematiche sono alquanto carente sinceramente :fagiano: :D )

Diciamo che l'algoritmo di hashing è tanto più buono quanto riesce ad evitare possibili collisioni.

Per rendere la cosa un pochino piu comprensibile a tutti riporto la definizione di Wikipedia che, pur non essendo il non plus ultra delle enciclopedie, rendeil concetto abbastanza abbordabile:

Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita maggiore dell'hash, sono più degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno più testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione.

Hai perfettamente ragione, non volevo scendere troppo nei dettagli per non rendere il concetto piu difficile di quello che già era :) (e comunque su tutte le definizioni matematiche sono alquanto carente sinceramente :fagiano: :D )

Diciamo che l'algoritmo di hashing è tanto più buono quanto riesce ad evitare possibili collisioni.

Per rendere la cosa un pochino piu comprensibile a tutti riporto la definizione di Wikipedia che, pur non essendo il non plus ultra delle enciclopedie, rendeil concetto abbastanza abbordabile:

Si possono estrapolare le password si o no?

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account? :)

Si possono estrapolare le password si o no?

Si, con la tecnica di brute forcing, se hai tempo (qualche anno) o qualche supermegacomputer e sperando che nel frattempo non le abbiano cambiate... oltre a cambiare anche le username, vista la disclosure sul quel sito...

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account? :)

Si, a prescindere. E' buona educazione cambiare le password spesso...

E quindi alla fine anche Bruno il tapezziere e Gino l'arrotino possono ricavere login e password.

No, ma i loro figli adolescenti molto probabilmente sì.

Si, a prescindere. E' buona educazione cambiare le password spesso...

A me il servizio home banking me le fa cambiare per forza ogni tre mesi.:rolleyes:

Anche le Poste, come tante altre entita' italiche, hanno seri problemi nel gestire la politica del vulnerability assessment (come si traduce in italiano?).

Pagare dei Professionisti (P maiuscola) LPT o CEH ha un costo, ma il ritorno e' immensamente piu' grande. Il problema resta quando il management e' affidato a persone che si son laureate con indirizzi umanistici e non capiscono una beneamata di tecnologie, neanche minimamente.
La domanda che si pongono e': "quanto costa ?"
Ma deficiente, il costo lascialo valutare ad un responsabile di Risk Assessment, tu continua ad andare su YouTube a guardarti i video e il tuo conto in banca !!!!!!

Quand'ero in Italia, uno dei miei boss ad altissimo livello, capo assoluto di un settore della sicurezza delle telecomunicazioni di una ENORME azienda italiana, mi ha fermato nel corridoio dicendomi di andare nel suo ufficio per una domanda estremamente tecnica:

"Che antivirus usi ?"

Questo e' il livello.

Per fortuna non sono tutti cosi. Posso garantirvi pero', per esperienza personale, perche' conosco la struttura, perche' conosco le persone, che vi sono entita' italiane che gestiscono MILIONI di Euro ogni giorno (soldi loro e dei clienti), che hanno le palle poliedriche

Uno di questi e' stato messo in direzione.
Risultato? E' diventato un vero manager, ma non per colpa sua, si e' dovuto adeguare al lavoro che ha avuto, alla promozione, non potendo piu' giocare "sul campo" si ritrova parecchio indietro rispetto all'evoluzione del mondo tecnologia e sicurezza informatica. Adesso se gli parli di SQL Injection o di XSS, te ne parla come un libro stampato, senza avere cognizione di causa...

' OR 1=1/* come diceva qualcuno.....

Perdonatemi lo sfogo...

beh non trovo che economia, e tutte le sue specializzazioni, o "ingegneria" gestionale, siano facolta' umanistiche eh....
in parte condvido a pieno le tue idee... ma a dirigere le aziende PURTROPPO, dato che il primo scopo è l'introito... non ci vogliono tecnici o esperti...ci vogliono persone che si sanno/sanno vendere.... che sanno gestire l'economia aziendale.... il fatto che sia preparato nell'argomento della propria azienda è secondario....
per un lungo periodo,l 'amministratore della apple, è stato l'ex presidente della pepsi....

ora... chiarito questo
all'estero, i manager, essendo di mentalita' molto piu' aperta, capisce che in determinati settori, la maggior spesa, equivale a meno perdite... in italia non sempre è cosi'....
non tanto perchè gli economisti non siano bravi, quanto perchè prima della bravura c'è la botta dietro (ti ci voglio vedere manager di poste italiane, senza conoscere NESSUNO), e il sapersi far notare, etc (leccare...)

cmq oh... dipende tutto dalla bravura di sti tizi....
magari sti tizi l'hanno scoperto in un giorno il bug, magari ce l'hanno cubiche.... e neanche mitnick avrebbe previsto
:asd:

Sono riuscito a capirci qualcosa.

La pagina vulnerabile era raggiungibile al dominio di secondo livello salastampa.poste.it. Attualmente il sito è stato messo in sicurezza rendendo irraggiungibile la pagina, quindi per il momento la vulnerabilità NON è più sfruttabile anche se probabilmente è ancora tutto come prima (cioè il codice non è stato corretto ma non essendo più esposto su internet non c'è pericolo).

E' scandaloso che poste italiane sia stata informata il 5 settembre 2009 proprio di questa falla, e non ha fatto nulla per correggerla (gli sarebbe bastato inibire l'accesso a quella pagina se proprio non avevano i soldi per pagare un consulente di sicurezza).

ALTRO CHE SCOPRIRE E PUNIRE I RESPONSABILI DEL DEFACEMENT TUTTI NOI DOVREMMO FARE UN MONUMENTO A CHI HA DEFACCIATO POSTE.IT PERCHE' E' GRAZIE A LORO CHE HANNO CHIUSO UNA FALLA PERICOLOSISSIMA CHE DA OLTRE UN MESE POTEVA ESSERE SFRUTTATA DA MALINTENZIONATI PER ACCEDERE AL DB!

Alla luce di tutto questo suggerisco a tutti gli utenti di bancopostaonline (di cui anche io faccio parte) di CAMBIARE LA PASSWORD DI ACCESSO perchè nemmeno lo staff IT di poste può avere la certezza che nessuno è entrato in possesso dei dati del database Oracle tramite injection.

Questo a prescindere dal fatto che l' MD5 sia inviolabile o meno, a me non frega nulla, quei dati non dovevano essere raggiungibili, se hanno letto lo username con l'MD5 della password di fianco, il sistema per quanto mi riguarda è violato, facciamocene una ragione e cambiamo la password, non possiamo certo accontentarci di sperare che dall'MD5 non risalgano alla password in chiaro!!

Comunque è pazzesco come giornali e TV abbiano ingigantito cagate come gli account rubati di hotmail o gmail tramite phishing e invece abbiano minimizzato così schifosamente il caso poste.it MOLTO più grave...

scusate ma io una cosa non ho capito, ho un conto con bancopostaclik, allora quando vado in homepage sulla destra per entrare si deve inserire nome utente e password giusto ma su questa homepage non c'è il lucchetto e non e una pagina https quindi possono prendere la mia password, altra cosa se prendono nomeutente e pass. entrano e vedono solo il mio conto e basta? perchè per le transizioni ci vuole la carta, il pin e la scatoletta e quindi se non hanno questo non possono far nulla o no, non sò se mi sono spiegato.

scusate ma io una cosa non ho capito, ho un conto con bancopostaclik, allora quando vado in homepage sulla destra per entrare si deve inserire nome utente e password giusto ma su questa homepage non c'è il lucchetto e non e una pagina https quindi possono prendere la mia password, altra cosa se prendono nomeutente e pass. entrano e vedono solo il mio conto e basta? perchè per le transizioni ci vuole la carta, il pin e la scatoletta e quindi se non hanno questo non possono far nulla o no, non sò se mi sono spiegato.

La pagina dovrebbe essere composta anche da IFRAME che e' possibile rendere sicuri attraverso l'SSL. Presumo, non ho verificato, che come per le banche, anche Poste Italiane utilizzi l'IFRAME sotto HTTPS ed e' per questo che non appare il lucchetto.

La pagina dovrebbe essere composta anche da IFRAME che e' possibile rendere sicuri attraverso l'SSL. Presumo, non ho verificato, che come per le banche, anche Poste Italiane utilizzi l'IFRAME sotto HTTPS ed e' per questo che non appare il lucchetto.

Edit: confermo, il frame e' in HTTPS: https://www.poste.it/online/personale/loginPrivati.fcc

L'https serve solo per evitare che user e pass passino in chiaro nel caso in cui qualcuno ti sniffi il traffico ad esempio se usi una rete wireless non protetta.

La vulnerabilità di cui parlo che ha causato il defacement non ha nulla a che vedere con la questione http/https ma è una vulnerablità che permette di leggere il database.

Cmq si alla peggio possono accedere al conto senza eseguire operazioni perchè ci vuole appunto il token RSA (o il foglietto delle chiavi per i conti più vecchi)

Il fatto che non possano arrivare ai $oldi non è abbastanza per farmi stare tranquillo perchè questa è davvero grossa... (più che altro il fatto si saperlo da oltre 1 mese e non aver fatto nulla!!)

Grazie Gennarino per la precisazione, è proprio così l'autenticazione avviene in https anche se non si vede dal browser perchè è in un iframe con il solo form di login.

L'https serve solo per evitare che user e pass passino in chiaro nel caso in cui qualcuno ti sniffi il traffico ad esempio se usi una rete wireless non protetta.

La vulnerabilità di cui parlo che ha causato il defacement non ha nulla a che vedere con la questione http/https ma è una vulnerablità che permette di leggere il database.

Cmq si alla peggio possono accedere al conto senza eseguire operazioni perchè ci vuole appunto il token RSA (o il foglietto delle chiavi per i conti più vecchi)

Il fatto che non possano arrivare ai $oldi non è abbastanza per farmi stare tranquillo perchè questa è davvero grossa... (più che altro il fatto si saperlo da oltre 1 mese e non aver fatto nulla!!)

Quoto tutto. Soprattutto l'ultima frase.

LuVi

allora, sono amici nostri questi hackers? :D

Beh... Quelli che hanno fatto il defacement direi di si! :D

Purtroppo la reazione è stata la solita roba "all'italiana"... Il problema si solleva dopo che la frittata è fatta, sempre a cavallo di un'onda emotiva di indignazione (ipocrita al 99%), come tutte le "emergenze" vere o false che siano in questo paese... :rolleyes:

grazie delle delucidazioni;)

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account? :)

in prima battuta sicuramente SI.
in seconda battuta cambia banca e passa a qualcuno di più serio ;)

.... se mi aiutate a capire sta cosa strana....

Voilevo cambiare password... mi loggo (con la mia solita password)... ma nella pagina di cambio password NON me la fa cambiare, dicendomi che "La password attuale inserita non è corretta".

Ovviamente la password attuale è quella che vorrei cambiare ed è corretta (provato a sloggarmi e riloggarmi e funziona!)... però non c'è verso di fargliela accettare nella pagina del cambio!... ma che cacchio è?!?!?! :rolleyes:

:muro:

edit: mo' crasha non appena provo a cliccare sul cambio password.... di bene in meglio! :D

.... se mi aiutate a capire sta cosa strana....

Voilevo cambiare password... mi loggo (con la mia solita password)... ma nella pagina di cambio password NON me la fa cambiare, dicendomi che "La password attuale inserita non è corretta".

Ovviamente la password attuale è quella che vorrei cambiare ed è corretta (provato a sloggarmi e riloggarmi e funziona!)... però non c'è verso di fargliela accettare nella pagina del cambio!... ma che cacchio è?!?!?! :rolleyes:

:muro:

edit: mo' crasha non appena provo a cliccare sul cambio password.... di bene in meglio! :D

adesso funziona?

adesso funziona?

Direi di no... :O La password attuale inserita non è corretta.

... assurdo... per fortuna NON ho un conto bancoposta e sulla postepay tengo di volta in volta la cifra necessaria per una transazione... :doh:

Io sto provando a loggarmi e mi restituisce questo errore:

Servizio non disponibile

A causa di adeguamenti tecnici, il servizio è temporaneamente sospeso. Ci scusiamo per il disagio arrecato.


Poste.it

Servizio non disponibile

A causa di adeguamenti tecnici, il servizio è temporaneamente sospeso. Ci scusiamo per il disagio arrecato.


Poste.it

"Oh, no, ancora!" cit. :rotfl:

:asd:

è tornato funzionante?
qualcuno può provare per favore?


Dovrei cambaire la password ma al mmento non mi fido tanto


:asd:



:nera:

no...

Grazie, aspetto notizie per domani allora :O

Confermo che il cambio password ancora NON FUNZIONA.

Io ho il conto corrente su bancoposta e come avrete notato dai miei post precedenti sono sempre più incaxxxxo con Poste Italiane.

Cambio password inibito == siamo ancora a rischio

Eh si perchè non sappiamo in che mani siano finite le utenze + hash MD5 nel mese precedente al defacement...

Mi piacerebbe almeno sapere se poste italine è al corrente del cambio password non funzionante DA DOMENICA...

E' TUTTO A POSTO UN CORNO!! :mad: :muro:

io ai miei ho cambiato la password ieri... e ha funzionato...

questo non toglie che poste.it sia un servizio di cacca...

io ai miei ho cambiato la password ieri... e ha funzionato...



sei sicuro che il servizio era di poste italiane? :asd:


qualche pagina farlocca similposte con login ruba-dati magari :asd:

Io non capisco perchè la gente si faccia il conto in posta... Boh! Non sanno fare bene nemmeno il loro lavoro di posta, come si può pensare facciano bene la banca?

Uhm... sempre più mistero allora...

E' da domenica mattina che provo a cambiare la password e mi dice sempre che è sbagliata nonostante sia giusta perchè è quella con cui sono entrato nell'account...

Qualcun altro è riuscito a cambiare la password?

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

...snip...
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

... perche' si parte dal presupposto (sbagliato) che Banca = Soldi = Investimenti in sicurezza
(scusami Rizlo+ se ho terminato il tuo passaggio)

Equazione errata, come ha anche detto Rizlo+, le banche piu' di ogni altra entita' economica mondiale investono maggiormente in risk assessment che in vulnerability assessment. Il loro ragionamento e':

"Dobbiamo pagare le assicurazioni perche' e' obbligatorio, allora ci creamo noi una nostra assicurazione a cui giriamo solo le fatture, evitiamo di spender troppo sulla sicurezza, sia fisica delle banche che su quella informatica, se e' il caso risarciamo il maltolto, sempreche' vi siano i presupposti, applichiamo condizioni ghigliottina sulle modalita di rimborso e accusiamo sempre il cliente di negligenza nella gestione della password. In casi estremi mettiamo in perdita all'assicurazione il rimborso e lo deduciamo dalle tasse con relativo incremento del premio assicurativo che sempre viene dedotto dalle tasse"

Se pensate che io sia contorto a ragionare cosi, sappiate che questo e' il metodo di ragionamento del management di qualsiasi banca nel mondo.
Preferisco pagare se accade qualcosa, piuttosto che spendere adesso...

Gennarino ti quoto in pieno!

La solidità finanziaria dell'ente non ha nulla a che vedere con il livello di sicurezza fornito...

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

Mah, io non credo che la sicurezza della banca presso cui ho il conto sia infallibile, ma non capisco che vantaggi possa offrire in più rispetto ad una banca tradizionale Poste Italiane, questo è il punto. E vedendo come fanno la posta... Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

Se pensate che io sia contorto a ragionare cosi, sappiate che questo e' il metodo di ragionamento del management di qualsiasi banca nel mondo.
Preferisco pagare se accade qualcosa, piuttosto che spendere adesso...

in generale è vero, ma anche la perdita di credibilità si paga.

@Onisem

Io mi sono trovato sempre benissimo con il conto bancoposta, mai un problema, un ritardo o un disservizio...

Certo è che con questa storia della vulnerabilità sul sito mi son caduti moooolto in basso. Più che per l'esistenza della vulnerabilità per come hanno gestito tutta la questione...

Molti di voi hanno il conto online con una banca credendo che per il fatto di essere una banca hanno un sistema sicurissimo per cui un problema come quello capitato a poste.it sarebbe impossibile. In realtà non c'è nessuna certezza su questo, una vulnerabilità potrebbe essere scoperta anche sul servizio online della più affidabile delle banche... Certo mi aspetto che diano un peso maggiore a eventuali segnalazioni/scoperte, non come ha fatto poste.
Se pensate che il vostro home banking sia infallibile solo perchè è gestito da una blasonata banca, non capite assolutamente nulla di sicurezza informatica...

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza ;)
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

sei sicuro che il servizio era di poste italiane? :asd:



:asd:

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza ;)
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Ecco...

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza ;)
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Ciao :)

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta :D

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

Ciao :)

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta :D

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

fighisssssimo :asd:
altro che phishing :asd:

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza ;)
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Quanto tempo ci hanno messo le banche per cui hai lavorato ad implementare rispettivamente O-Key e RSA Token ? Diciamo una paio d'anni !!!!
Prima dell'introduzione avevano rispettivamente:

- un fogliettino con delle password dispositive monouso
- un'unica password dispositiva non modificabile dall'utente

Nel frattempo avevano gia' implementato l'home-banking e una delle banche che hai citato ha dovuto sborsare TANTO, per un caso di phishing andato a buon fine dove il magistrato ha riconosciuto la negligenza dell'istituto bancario nell'applicare tutte le dovute cautele al fine di tutelare l'utente, la banca ha arguito inversamente, ovvero che era stato l'utente negligente nel dare le password ad un sito simile a quello della banca.

E' chiaro che l'utente comune che affida i proprio denari ad una banca, non ha le capacita' tecniche che invece la banca dovrebbe avere.
Come mette una guardia giurata all'ingresso e pone delle barriere al fine di proteggere il proprio capitale e poi l'utente (l'ordine delle priorita' e' questo per la banca), al pari avrebbe dovuto attuarsi affinche' anche il servizio fornito via internet fosse protetto nella stessa maniera.

Ancora oggi le banche hanno delle pecche nella gestione delle vulnerabilita', una delle banche che hai citato ancora oggi ha le porte d'ingresso NON a bussola, perche' cambiarle tutte ha un costo e il rischio rapina ha un costo inferiore al cambio delle porte stesse.
Parimenti un sistema di protezione dei dati e degli accessi online ha un costo decisamente superiore rispetto all'implementazione, ma anche alla verifica stessa delle vulnerabilita' di un sito online.

In sostanza, meglio rimborsare 1000 euro fregati dal conto di un poveraccio, piuttosto che pagarne 10.000 per un'analisi della vulnerabilita, o 100.000 per costituire un team interno che verifichi con professionalita' e cognizione lo stato dell'infrastruttura informatica.

So' logorroico, lo so, ma se non mi esprimo, muoio :D

Ciao :)

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta :D

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

Trattasi di help-online :O




:asd:

Quanto tempo ci hanno messo le banche per cui hai lavorato ad implementare rispettivamente O-Key e RSA Token ? Diciamo una paio d'anni !!!!
Prima dell'introduzione avevano rispettivamente:
- un fogliettino con delle password dispositive monouso
- un'unica password dispositiva non modificabile dall'utente

ho parlato di patch di sicurezza e bachi applicativi, per cui esistono consulenti pagati 24h/24 7 giorni su 7, che i problemi li risolvono immediatamente. Quelle di cui parli tu sono modifiche funzionali, cosa ben diversa ;)

Nel frattempo avevano gia' implementato l'home-banking e una delle banche che hai citato ha dovuto sborsare TANTO, per un caso di phishing andato a buon fine dove il magistrato ha riconosciuto la negligenza dell'istituto bancario nell'applicare tutte le dovute cautele al fine di tutelare l'utente, la banca ha arguito inversamente, ovvero che era stato l'utente negligente nel dare le password ad un sito simile a quello della banca.

per come la vedo io infatti è così, un sito non ha colpe se un utente inserisce user/password sul sito sbagliato :confused:
non mi è chiaro quali tutele si potrebbero applicare sui casi di phishing, sono totalmente fuori controllo per chi gestisce un sito web.

E' chiaro che l'utente comune che affida i proprio denari ad una banca, non ha le capacita' tecniche che invece la banca dovrebbe avere.
Come mette una guardia giurata all'ingresso e pone delle barriere al fine di proteggere il proprio capitale e poi l'utente (l'ordine delle priorita' e' questo per la banca), al pari avrebbe dovuto attuarsi affinche' anche il servizio fornito via internet fosse protetto nella stessa maniera.

concordo, ma questo con il phishing non ha niente a che fare. E' come consegnare le chiavi dell'auto al primo che passa e poi lamentarsi con il proprietario del parcheggio a pagamento perchè si pensava che il ladro fosse un suo dipendente.

Ancora oggi le banche hanno delle pecche nella gestione delle vulnerabilita', una delle banche che hai citato ancora oggi ha le porte d'ingresso NON a bussola, perche' cambiarle tutte ha un costo e il rischio rapina ha un costo inferiore al cambio delle porte stesse.
Parimenti un sistema di protezione dei dati e degli accessi online ha un costo decisamente superiore rispetto all'implementazione, ma anche alla verifica stessa delle vulnerabilita' di un sito online.
In sostanza, meglio rimborsare 1000 euro fregati dal conto di un poveraccio, piuttosto che pagarne 10.000 per un'analisi della vulnerabilita, o 100.000 per costituire un team interno che verifichi con professionalita' e cognizione lo stato dell'infrastruttura informatica.
So' logorroico, lo so, ma se non mi esprimo, muoio :D

un attimo, il "team di esperti" per qualsiasi banca esiste già e copre le falle della sicurezza del sito e della rete interna. Per le modifiche funzionali dei programmi utilizzati invece entrano in gioco altre persone, gruppi di programmatori, società esterne, ecc e le cose che si valutano per ogni piccolo intervento sono diecimila e non necessariamente legate solo alla sicurezza. Quello che è successo alle poste non può succedere facilmente ad una banca proprio perchè i bachi applicativi vengono corretti "prima di immediatamente" o c'è gente che perde il posto di lavoro. Il modo in cui funziona il sito è un altro discorso. Non so se mi sono spiegato bene :)

NB le tre banche citate ora sono una banca sola.

Ciao :)

Di sicuro mi fido ad occhi chiusi di quello che dici per le banche con cui hai avuto a che fare. Stessa cosa non posso dire per una determinata banca, alla quale segnalai (da utente ovviamente) una cosa abbastanza fastidiosa:

Se sbagliavi la password al momento dell'autenticazione, ti veniva fornita nella barra di stato in basso quella corretta :D

Questa cosa è durata almeno per i quattro mesi nei quali sono stato correntista.

santo cielo :asd:
voglio sperare con tutto il cuore che situazioni come quelle che citi non siano la regola, ma la regola sia quello che ho visto io :sperem:
che banca era?

santo cielo :asd:
voglio sperare con tutto il cuore che situazioni come quelle che citi non siano la regola, ma la regola sia quello che ho visto io :sperem:
che banca era?

Posso citarla senza trovarmi l'fbi fuori la porta ? :fagiano:

Posso citarla senza trovarmi l'fbi fuori la porta ? :fagiano:

Sono GIA fuori della tua porta :O :D

io ho lavorato con i sistemi informativi di tre banche finora (la ex banca commerciale italiana, banca intesa e l'ex s. paolo di torino) e ti posso assicurare che le cose lì funzionano MOLTO diversamente, a partire dalla competenza di chi ci lavora alla velocità con cui vengono applicate le patch di sicurezza, alla disponibilità eventualmente se serve h24 di consulenti sia di microsoft che di tutti i programmi installati. Ho visto la stessa cosa in vodafone per le ricariche e i pagamenti e immagino sia così di conseguenza in ogni azienda seria di una certa grandezza ;)
in aziende serie non esiste che escano patch di sicurezza che non vengono applicate per tempo o tre giorni di disservizio sul cambio password, è motivo sufficiente per licenziare personale. In vodafone dopo dieci minuti di disservizio mi svegliavano a casa in piena notte..

Guarda che non hai centrato il punto... Qui non si tratta di applicare patch di sicurezza, la vulnerabilità che ha causato il defacement non riguarda i sistemi ma la web application di home banking scritta ad-hoc per poste, quella vulnerabilità è stata scoperta probabilmente dalla persona che l'ha postato sul suo blog(censurando nelle immagini la pagina esatta e i nomi) e l'ha segnalato a poste oltre un mese fa, nessun consulente di microsoft o di qualsivoglia "programma installato" avrebbe prevenuto tale errore!
Io lavoro come consulente in una società di servizi finanziari quindi so benissimo che non sono ambienti di incompententi e so benissimo che funziona proprio come dici tu, il punto è che questo è un altro livello...Anche quelle società non hanno al loro interno degli esperti di pen-testing e vulnerability assessment che ad ogni piccola modifica delle applicazioni (quelle ah-hoc con un team fisso, magari di consulenti esterni) ricontrollano che non siano state introdotte vulnerabilità! Vengono incaricate società esterne specializzate solo in quello, chiamate per fare degli assessment *periodoci* (costosi) purtroppo spesso solo per rassicurare il management(risparmiando).
Basta che per un qualunque motivo il test slitta "al mese prossimo" , se dall'ultima volta che l'hanno fatto è stata introdotta una vulnerabilità ad esempio in una pagina che prima non c'era (salastampa.poste.it ?) ecco che ti defacciano il sito o peggio... Probabilmente Poste Italiane non ha un IPS (intrusion prevention system) davanti ai web server pubblici o ce l'ha ed è configurato malino (mi sa che è questa visto che è improbabile non ce l'abbia).
In questo caso gli sarebbe bastato semplicemente prendere sul serio un avvertimento e verificare, o far verificare visto che, lo ripeto, le competenze interne non ci sono, o se ci sono quelle persone devono occuparsi di altre 30 robe e quindi qualcosa sfugge...

Beh aggiungo che comunque riguardo al disservizio hai perfettamente ragione, non è serio che ci sia questo problema del cambio password specialmente dopo un evento del genere! Si contano i secondi/minuti quando si arriva a "giorni" cadono molte teste.
Poste italiane in questa vicenda: SCANDALOSI

Ad oggi ancora non posso cambiare password... Intanto ho scritto al supporto...

Si, con la tecnica di brute forcing, se hai tempo (qualche anno) o qualche supermegacomputer e sperando che nel frattempo non le abbiano cambiate... oltre a cambiare anche le username, vista la disclosure sul quel sito...


ma anche no
sfruttando le gpu i tempi si accorciano moltissimo, e la cosa non è poi così lunga

ma anche no
sfruttando le gpu i tempi si accorciano moltissimo, e la cosa non è poi così lunga

L'utilizzo delle GPU per il brute forcing e' ancora allo stato embrionale, e comunque l'uso del brute forcing e' oramai (spero) vanificato dall'introduzione del timing tra l'inserimento delle password e il numero di tentativi ammessi per sessione.
Diciamo che sono ancora attuabili le tecniche usando dei dizionari o le rainbow-tables, ma il cerchio si chiude se le password vengono cambiate periodicamente e vengono utilizzate delle forzature affinche' non siano utilizzate almeno le ultime 5 password e siano lunghe 10 caratteri inclusi caratteri "extra" e numeri.

Insomma la soluzione rimane sempre e solo il buon senso degli amministratori di sistema e degli utenti.

Ad oggi ancora non posso cambiare password... Intanto ho scritto al supporto...

anche io ho scritto ieri sera per il cambio password non funzionante, nessuna risposta ancora. :muro:

[...]

Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

:what:

[...] Inoltre già solo il fatto che abbiano una rete bancomat molto meno capillare per me è motivo sufficiente per rivolgermi a chi la banca la fa di mestiere.

:what:

Da "straniero" non posso che concordare... ho provato a prelevare con bancomat belgi in Italia su ATM BancoPoste e mi hanno sempre mandato a digerire...

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

12 caratteri alfanumerici... :rolleyes:

tra quelli che hanno provato a cambiare la password con esito negativo, la vecchia password quanti caratteri era lunga?
Contattato il supporto telefonico, mi hanno detto che il problema potrebbe essere dovuto al fatto che la vecchia password è minore di otto caratteri.A me sembra una stronzata ma la mia effettivamnete era minore di 8.
Aspetto notizie.

la mia era di 7 e l'ho cambiata senza problemi

la mia era di 7 e l'ho cambiata senza problemi

L'hai cambiata in questi giorni?

Come cacchio è possibile che alcuni riescono a cambiarla e altri no?
L'unica cosa possibile è che al momento del cambio era online una versione diversa del software.

12 caratteri alfanumerici... :rolleyes:

provando a affettuare il cambio, adesso richiede una password di lunghezza compresa tra 8 e 10.Quindi sicuramnete adesso il software è stato cambiato visto che ci sono password impostate a lunghezza 7 e 12.

provando a affettuare il cambio, adesso richiede una password di lunghezza compresa tra 8 e 10.Quindi sicuramnete adesso il software è stato cambiato visto che ci sono password impostate a lunghezza 7 e 12.

può essere... però resta comunque una vaccata epocale...:D

(ho già svuotato la postepay)

L'hai cambiata in questi giorni?

Come cacchio è possibile che alcuni riescono a cambiarla e altri no?
L'unica cosa possibile è che al momento del cambio era online una versione diversa del software.

qualche giorno dopo il "fattaccio" :O ... cmq il cambio non è stato "istantaneo" mi ha avvisato che la pass sarebbe cambiata entro 2gg

Da "straniero" non posso che concordare... ho provato a prelevare con bancomat belgi in Italia su ATM BancoPoste e mi hanno sempre mandato a digerire...

Bisogna vedere in quale circuito era inserito la tua "carta di credito belga".

qualche giorno dopo il "fattaccio" :O ... cmq il cambio non è stato "istantaneo" mi ha avvisato che la pass sarebbe cambiata entro 2gg

Allora dopo e controprove sono riuscito a cambiare la password :sofico:
Ovviamente era un stronzata il controllo di lunghezza sulla vecchia password.
Non mi accettava la nuova perchè tra i caratteri era presente il "!".Allucinante, mai sentita roba del genere.
Software di merda e operatori ignoranti,un bel connubio.

Bisogna vedere in quale circuito era inserito la tua "carta di credito belga".

Ne ho tre:

MASTERCARD
VISA
CIRRUS - MAESTRO - BANCONTACT/MisterCash (Proton)

Nessuna prepagata, tutte postpagate, niente prelievi da Postamat.
Prelevato su altro sportello con successo ovviamente.

Comunque non mi dava soldi neanche con il bancomat italiano di Unicredit (circuiti pagoBancomat/Maestro/Cirrus/FastPay)

Agosto 2009 - Venezia e Verona, quindi non tantissimo tempo fa... anzi...