poste.it sotto attacco?

[-kurgan-]

Quote:

Originariamente inviato da Gennarino

ma monitora e' italiano ? non dovrebbe essere monitorizza ??? Chiedo lumi....

forse hai ragione, come molti altri termini "informatici" spesso si storpia per consuetudine la relativa parola inglese
anche "defacciati" è un termine nato allo stesso modo.

[Haden80]

Quote:

Originariamente inviato da Gennarino

ma monitora e' italiano ? non dovrebbe essere monitorizza ??? Chiedo lumi....

Quote:

Originariamente inviato da -kurgan-

forse hai ragione, come molti altri termini "informatici" spesso si storpia per consuetudine la relativa parola inglese
anche "defacciati" è un termine nato allo stesso modo.

no no è giusto

io monìtoro..

correggo sempre il mio responsabile che utilizza "monitorizzo"..e non si può sentire

[Alessio.16390]

monitoreggio

[Max_p]

intervistato il responsabile sicurezza poste al tg5, "nessuna lacuna del sistema" "solo un problema software"

[cracker_pazzo]

si infatti... visto anche io quello delle 13 e qualcosa... però l'hanno detto anche stamattina al servizio delle 8:10(quì sotto il link).

Link al video: Video Servizio

Ciao!

[eraser]

Quote:

Originariamente inviato da LUVІ

Tu che ne pensi delle dichiarazioni del mitnick qui sopra sull'inviolabilità dell'md5, visto che credo te ne intenda abbastanza, a giudicare dal tuo cv?

l'MD5 è attualmente tecnicamente considerato insicuro, così come SHA1. Tuttavia è ancora ampiamente utilizzato, perché l'attacco al sistema di hashing è abbastanza complesso da effettuare.

Comunque nel 2005 è stata dimostrata la possibilità di collisioni di hashing per MD5. Ciò significa che è tecnicamente possibile ottenere lo stesso hash partendo da due input differenti.

Nel 2006 è stato dimostrato come ottenere una collisione nel giro di qualche minuto (pdf)

[Il Pupazzo Gnappo]

Quote:

Originariamente inviato da Gennarino

Poste: polizia postale individua pc usato per attacco hacker.

Portale oscurato da cybercriminali, polizia postale ha individuato il pc responsabile

Il resto e' qui: http://www.ansa.it/web/notizie/rubri...986730829.html

probabilmente è vera questa notizia, ma è anche risaputo che in polizia postale lavorano certamente ex hacker

[LUVІ]

Quote:

Originariamente inviato da -kurgan-

ah beh... nell'IT delle poste ci sono persone che hanno fatto questa figura da cioccolatai, però la polizia postale monitora costantemente il sito premendo F5
passate a fineco o webank o simili.. che queste figure da dilettanti non le fanno (le ultime parole famose.. ora verranno defacciati pure loro ).

Beh, per il monitoraggio si usa qualcosa di diverso da F5, e non è fatto in manuale, ed è distribuito sul territorio

LuVi

[LUVІ]

Il comunicato di poste.it:

Ripristinata l'home page del sito dopo l'attacco di defacement. Mai stati in pericolo i dati dei correntisti
L'attacco di defacement, una delle forme più frequenti di hackeraggio contro i siti italiani, che ha interessato nella serata di sabato 10 ottobre il sito di Poste Italiane è stato tempestivamente bloccato dal sistema di sicurezza interno dell'azienda. Tutti i dati e le informazioni contenuti nel sito non sono stati violati.
I tecnici di Poste Italiane e la Polizia postale - con l'ausilio della sofisticata sala di sicurezza per il controllo della rete allestita presso la sede di Poste Italiane a Roma - hanno intensificato i controlli per identificarne gli autori e sono già sulle tracce degli hacker.

[eraser]

Quote:

Originariamente inviato da eraser

l'MD5 è attualmente tecnicamente considerato insicuro, così come SHA1. Tuttavia è ancora ampiamente utilizzato, perché l'attacco al sistema di hashing è abbastanza complesso da effettuare.

Comunque nel 2005 è stata dimostrata la possibilità di collisioni di hashing per MD5. Ciò significa che è tecnicamente possibile ottenere lo stesso hash partendo da due input differenti.

Nel 2006 è stato dimostrato come ottenere una collisione nel giro di qualche minuto (pdf)

Traduco a parole povere e per rendere bene l'idea: usare l'MD5 è insicuro perché un eventuale attaccante è potenzialmente in grado di rigenerare lo stesso hash con una password differente.

Spiegato meglio: l'utente Duilio Giamboni inserisce la sua password per accedere al sistema. La password viene trasformata in un hash MD5 e viene comparata con l'hash salvato nel database (l'hash era stato creato la prima volta quando l'utente si era registrato e aveva inserito la sua password personale). L'hash dovrebbe essere assolutamente unico, cioè ad uno specifico testo (password in questo caso) corrisponde uno ed un solo hash.

Cosa garantisce questo (tra le tante cose)? Che se il database venisse bucato, le password non sarebbero in chiaro ma salvate sottoforma di hash. Dall'hash è tecnicamente impossibile tornare alla password in chiaro, perché la funzione di hashing è una funzione non invertibile.

Per cui tutti al sicuro? No, perché è stato dimostrato che l'MD5 ha alcune vulnerabilità che permettono di ottenere lo stesso hash con input differenti.

Quindi, tecnicamente, conoscendo l'hash MD5, il pirata informatico PincoPallino potrebbe creare una password ad hoc per ottenere lo stesso hash, avendo così accesso al sistema pur non conoscendo la password originale.

Spero sia più chiaro

[:.Blizzard.:]

Chiarissimo capo

[-kurgan-]

Quote:

Originariamente inviato da LUVІ

Beh, per il monitoraggio si usa qualcosa di diverso da F5, e non è fatto in manuale, ed è distribuito sul territorio

LuVi

lo so.. li prendevo in giro
anche se il problema non è il monitoraggio del danno quando è avvenuto ma evitare che questi problemi succedano in partenza.

[Rizlo+]

A me piacerebbe che qui qualcuno volesse entrare in merito alla questione tecnica di cosa è successo esattamente e come è stato fatto ma pare non ci sia nessuno con le competenze adatte nemmeno tra quelli che avrebbero voluto far credere di averle...

Certo questo non è un forum sull'hacking però...
Trovata la pagina vulnerabile a js injection? Verificato che oggi, alla riapertura del servizio il codice vulnerabile era stato modificato? No ??
Allora non è tutto a posto come tutti dicono... (compreso posteitaliane)

E' giusto non spargere il panico, ma questa tendenza malsana delle istituzioni e delle grosse compagnie a voler far credere che "è sempre tutto sotto controllo" grazie a l' "ottimo operato degli amici della polizia postale" deve essere smascherata...

FULL DISCLOSURE, voglio un incident report dettagliato, certo non sulla homepage del sito (non fregherebbe al 99% della gente e sarebbe lesivo d'immagine) ma deve saltare fuori sui siti di sicurezza, non vale insabbiare tutto, bisogna fare una stima del reale pericolo che gli utenti hanno corso.

Ad esempio io non sono così convinto come tutti i sedicenti esperti in questo thread dicono (e come dice posteitaliane) che i dati degli utenti siano stati in ogni caso inaccessibili...
Come fate a dirlo se non sapete ESATTAMENTE (parlo di codice eseguito!) cosa è successo? Oppure se lo sapete e non volete dircelo vuol dire che qualcosina da nascondere cè l'avete...

Insomma non capisco tutta la tranquillità e l'ottimismo per un fatto gravissimo come questo... Ma forse sono io che pretendo troppo dal forum hwupgrade e devo avviare un dibattito costruttivo altrove

[eraser]

Via, con qualcosa qualcuno si è divertito

[-kurgan-]

Quote:

Originariamente inviato da Rizlo+

Ad esempio io non sono così convinto come tutti i sedicenti esperti in questo thread dicono (e come dice posteitaliane) che i dati degli utenti siano stati in ogni caso inaccessibili...
Come fate a dirlo se non sapete ESATTAMENTE (parlo di codice eseguito!) cosa è successo? Oppure se lo sapete e non volete dircelo vuol dire che qualcosina da nascondere cè l'avete...

io dicevo il contrario..

Quote:

Originariamente inviato da eraser

Via, con qualcosa qualcuno si è divertito

ecco, cvd

[Rizlo+]

Eh.. Appunto eraser! Non è chiarissimo su quel blog ma pare che QUELLA sia la vulnerabilità che ha permesso al sito di essere defacciato.

SEGNALATA IL 5 SETTEMBRE a Poste Italiane e prontamente ignorata dallo staff IT. Altro che nessun pericolo per gli utenti...

[Rizlo+]

Quote:

Originariamente inviato da -kurgan-

io dicevo il contrario..

Infatti non mi riferivo a te

[eraser]

Quote:

Originariamente inviato da Rizlo+

Eh.. Appunto eraser! Non è chiarissimo su quel blog ma pare che QUELLA sia la vulnerabilità che ha permesso al sito di essere defacciato.

SEGNALATA IL 5 SETTEMBRE a Poste Italiane e prontamente ignorata dallo staff IT. Altro che nessun pericolo per gli utenti...

Un pen-tester che ha utilizzato un tool famoso nell'underground per effettuare scansioni automatiche alla ricerca di vulnerabilità sql injection. E ne ha trovata una (almeno una)

[Freeskis]

Quote:

Originariamente inviato da kevindavidmitnick

no assolutamente non lo farebbe neanche il più stupido dei più stupidi dei programmatori php/asp al mondo credimi.

Il più delle volte quando viene eseguito per la prima volta il comando "create table" nelle più tra le diverse versioni di database viene data la possibilità di imposta una colonna dati per il trattamento di codici md5, in sostanza ogni volta che quindi viene reimpostata la password o creata, il comando "update" o "insert into 'utenti_posteitaliane'" tramite il database senza bisogno di ulteriori chiarimenti di linguaggio lato server, cripta immediatamente il codice, in questo caso la password dell'utente che fa richiesta del comando.

No no è abbastanza remota la possibilità che le password vengano registrate in chiaro su una colonna dati di tipo 'text'....sarebbe fantascenza....se è cosi linciamo quello che ha fatto questa cazzata

dipende dall'intelligenza di chi scrive codice
c'è anche chi si vanterebbe della scelta dicendo che così è più performante

[scilvio]

oddio non mi sembra tanto complesso l'attacco all'MD5 ci sono dei programmini che a suon di bruteforce con la potenza delle schede video arrivano a miliardi di password al secondo e in pochi minuti ti trovano la password certo c'è la possibilità che sia una collisione e non la password originale ma il risultato di entrarti nell'account riescono ad ottenerlo.