c.m.g
30-03-2011, 12:18
mercoledì 30 marzo 2011
Importanti siti web cadono vittima di vulnerabilità laddove dovrebbero avere le difese più forti, società di sicurezza dispensano consigli sui nuovi rischi del cloud computing mentre gestiscono portali-colabrodo
Roma - Qual è il colmo per un sito come MySQL.com, "casa" telematica di uno dei componenti fondamentali della pila LAMP (http://en.wikipedia.org/wiki/LAMP_(software_bundle))? Probabilmente cadere vittima di un attacco di SQL injection al database, con tanto di estrazione delle password di accesso e hacking finale. Gli autori dell'attacco? Un duo di smanettoni romeni "grey-hat" noti come "TinKode" e "Ne0h" su slacker.ro.
I due hanno individuato la vulnerabilità (http://www.theregister.co.uk/2011/03/28/mysql_hack/) su mysql.com e sun.com, estratto gli hash dei nomi utenti e delle password contenute nei database dei siti, confrontato i suddetti hash con la rainbow table e infine "indovinato" varie credenziali di accesso fra cui quella del direttore di prodotto per WordPress presso MySQL - in questo caso la passoword era un banale numero a quattro cifre.
Il nuovo attacco contro mysql.com mette ancora una volta in cattiva luce la gestione della sicurezza da parte di Oracle, visto che il sito è notoriamente vulnerabile ad attacchi Cross-Site-Scripting (XSS) già da alcuni mesi.
Il colmo per la (in)sicurezza in rete raggiunge vette di involontario sadismo quando a cadere vittima degli attacchi è la storica security enterprise McAfee. La società, recentemente acquisita da Intel (http://punto-informatico.it/3099637/PI/News/intel-conclude-mcafee.aspx) al prezzo di svariati miliardi di dollari, gestisce un sito web tutto pieno di buchi. McAfee conferma (http://www.theregister.co.uk/2011/03/29/mcafee_website_security_flaws/), dice di essere al lavoro per chiudere le vulnerabilità individuate dallo YGN Ethical Hacker Group e garantisce comunque sulla salvaguardia delle informazioni di "clienti, partner e aziende".
E mentre gli hacker aprono spifferi nel sito corporate, McAfee trova il tempo di lanciare l'allarme sul crescente interesse dei cyber-criminali per i colossi dell'IT (http://www.crunchgear.com/2011/03/28/mcafee-change-in-corporate-culture-leaves-businesses-vulnerable-to-hackers/) del mondo. Con il crescere dell'importanza della gestione "terza" di dati, informazioni e database, avverte McAfee, i malware writer accrescono il loro interesse verso le mega-corporation (Google, Amazon, Apple, Microsoft,...) che quei dati li conservano e gestiscono sui propri server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3119634/PI/News/sicurezza-online-danni-beffe.aspx)
Importanti siti web cadono vittima di vulnerabilità laddove dovrebbero avere le difese più forti, società di sicurezza dispensano consigli sui nuovi rischi del cloud computing mentre gestiscono portali-colabrodo
Roma - Qual è il colmo per un sito come MySQL.com, "casa" telematica di uno dei componenti fondamentali della pila LAMP (http://en.wikipedia.org/wiki/LAMP_(software_bundle))? Probabilmente cadere vittima di un attacco di SQL injection al database, con tanto di estrazione delle password di accesso e hacking finale. Gli autori dell'attacco? Un duo di smanettoni romeni "grey-hat" noti come "TinKode" e "Ne0h" su slacker.ro.
I due hanno individuato la vulnerabilità (http://www.theregister.co.uk/2011/03/28/mysql_hack/) su mysql.com e sun.com, estratto gli hash dei nomi utenti e delle password contenute nei database dei siti, confrontato i suddetti hash con la rainbow table e infine "indovinato" varie credenziali di accesso fra cui quella del direttore di prodotto per WordPress presso MySQL - in questo caso la passoword era un banale numero a quattro cifre.
Il nuovo attacco contro mysql.com mette ancora una volta in cattiva luce la gestione della sicurezza da parte di Oracle, visto che il sito è notoriamente vulnerabile ad attacchi Cross-Site-Scripting (XSS) già da alcuni mesi.
Il colmo per la (in)sicurezza in rete raggiunge vette di involontario sadismo quando a cadere vittima degli attacchi è la storica security enterprise McAfee. La società, recentemente acquisita da Intel (http://punto-informatico.it/3099637/PI/News/intel-conclude-mcafee.aspx) al prezzo di svariati miliardi di dollari, gestisce un sito web tutto pieno di buchi. McAfee conferma (http://www.theregister.co.uk/2011/03/29/mcafee_website_security_flaws/), dice di essere al lavoro per chiudere le vulnerabilità individuate dallo YGN Ethical Hacker Group e garantisce comunque sulla salvaguardia delle informazioni di "clienti, partner e aziende".
E mentre gli hacker aprono spifferi nel sito corporate, McAfee trova il tempo di lanciare l'allarme sul crescente interesse dei cyber-criminali per i colossi dell'IT (http://www.crunchgear.com/2011/03/28/mcafee-change-in-corporate-culture-leaves-businesses-vulnerable-to-hackers/) del mondo. Con il crescere dell'importanza della gestione "terza" di dati, informazioni e database, avverte McAfee, i malware writer accrescono il loro interesse verso le mega-corporation (Google, Amazon, Apple, Microsoft,...) che quei dati li conservano e gestiscono sui propri server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3119634/PI/News/sicurezza-online-danni-beffe.aspx)