poste.it sotto attacco?

[Jarni]

Quote:

Originariamente inviato da ulk

E quindi alla fine anche Bruno il tapezziere e Gino l'arrotino possono ricavere login e password.

No, ma i loro figli adolescenti molto probabilmente sì.

[Jarni]

Quote:

Originariamente inviato da Gennarino

Si, a prescindere. E' buona educazione cambiare le password spesso...

A me il servizio home banking me le fa cambiare per forza ogni tre mesi.

[CaFFeiNe]

Quote:

Originariamente inviato da Gennarino

Anche le Poste, come tante altre entita' italiche, hanno seri problemi nel gestire la politica del vulnerability assessment (come si traduce in italiano?).

Pagare dei Professionisti (P maiuscola) LPT o CEH ha un costo, ma il ritorno e' immensamente piu' grande. Il problema resta quando il management e' affidato a persone che si son laureate con indirizzi umanistici e non capiscono una beneamata di tecnologie, neanche minimamente.
La domanda che si pongono e': "quanto costa ?"
Ma deficiente, il costo lascialo valutare ad un responsabile di Risk Assessment, tu continua ad andare su YouTube a guardarti i video e il tuo conto in banca !!!!!!

Quand'ero in Italia, uno dei miei boss ad altissimo livello, capo assoluto di un settore della sicurezza delle telecomunicazioni di una ENORME azienda italiana, mi ha fermato nel corridoio dicendomi di andare nel suo ufficio per una domanda estremamente tecnica:

"Che antivirus usi ?"

Questo e' il livello.

Per fortuna non sono tutti cosi. Posso garantirvi pero', per esperienza personale, perche' conosco la struttura, perche' conosco le persone, che vi sono entita' italiane che gestiscono MILIONI di Euro ogni giorno (soldi loro e dei clienti), che hanno le palle poliedriche

Uno di questi e' stato messo in direzione.
Risultato? E' diventato un vero manager, ma non per colpa sua, si e' dovuto adeguare al lavoro che ha avuto, alla promozione, non potendo piu' giocare "sul campo" si ritrova parecchio indietro rispetto all'evoluzione del mondo tecnologia e sicurezza informatica. Adesso se gli parli di SQL Injection o di XSS, te ne parla come un libro stampato, senza avere cognizione di causa...

' OR 1=1/* come diceva qualcuno.....

Perdonatemi lo sfogo...

beh non trovo che economia, e tutte le sue specializzazioni, o "ingegneria" gestionale, siano facolta' umanistiche eh....
in parte condvido a pieno le tue idee... ma a dirigere le aziende PURTROPPO, dato che il primo scopo è l'introito... non ci vogliono tecnici o esperti...ci vogliono persone che si sanno/sanno vendere.... che sanno gestire l'economia aziendale.... il fatto che sia preparato nell'argomento della propria azienda è secondario....
per un lungo periodo,l 'amministratore della apple, è stato l'ex presidente della pepsi....

ora... chiarito questo
all'estero, i manager, essendo di mentalita' molto piu' aperta, capisce che in determinati settori, la maggior spesa, equivale a meno perdite... in italia non sempre è cosi'....
non tanto perchè gli economisti non siano bravi, quanto perchè prima della bravura c'è la botta dietro (ti ci voglio vedere manager di poste italiane, senza conoscere NESSUNO), e il sapersi far notare, etc (leccare...)

cmq oh... dipende tutto dalla bravura di sti tizi....
magari sti tizi l'hanno scoperto in un giorno il bug, magari ce l'hanno cubiche.... e neanche mitnick avrebbe previsto

[Rizlo+]

Sono riuscito a capirci qualcosa.

La pagina vulnerabile era raggiungibile al dominio di secondo livello salastampa.poste.it. Attualmente il sito è stato messo in sicurezza rendendo irraggiungibile la pagina, quindi per il momento la vulnerabilità NON è più sfruttabile anche se probabilmente è ancora tutto come prima (cioè il codice non è stato corretto ma non essendo più esposto su internet non c'è pericolo).

E' scandaloso che poste italiane sia stata informata il 5 settembre 2009 proprio di questa falla, e non ha fatto nulla per correggerla (gli sarebbe bastato inibire l'accesso a quella pagina se proprio non avevano i soldi per pagare un consulente di sicurezza).

ALTRO CHE SCOPRIRE E PUNIRE I RESPONSABILI DEL DEFACEMENT TUTTI NOI DOVREMMO FARE UN MONUMENTO A CHI HA DEFACCIATO POSTE.IT PERCHE' E' GRAZIE A LORO CHE HANNO CHIUSO UNA FALLA PERICOLOSISSIMA CHE DA OLTRE UN MESE POTEVA ESSERE SFRUTTATA DA MALINTENZIONATI PER ACCEDERE AL DB!

Alla luce di tutto questo suggerisco a tutti gli utenti di bancopostaonline (di cui anche io faccio parte) di CAMBIARE LA PASSWORD DI ACCESSO perchè nemmeno lo staff IT di poste può avere la certezza che nessuno è entrato in possesso dei dati del database Oracle tramite injection.

Questo a prescindere dal fatto che l' MD5 sia inviolabile o meno, a me non frega nulla, quei dati non dovevano essere raggiungibili, se hanno letto lo username con l'MD5 della password di fianco, il sistema per quanto mi riguarda è violato, facciamocene una ragione e cambiamo la password, non possiamo certo accontentarci di sperare che dall'MD5 non risalgano alla password in chiaro!!

Comunque è pazzesco come giornali e TV abbiano ingigantito cagate come gli account rubati di hotmail o gmail tramite phishing e invece abbiano minimizzato così schifosamente il caso poste.it MOLTO più grave...

[linux964]

scusate ma io una cosa non ho capito, ho un conto con bancopostaclik, allora quando vado in homepage sulla destra per entrare si deve inserire nome utente e password giusto ma su questa homepage non c'è il lucchetto e non e una pagina https quindi possono prendere la mia password, altra cosa se prendono nomeutente e pass. entrano e vedono solo il mio conto e basta? perchè per le transizioni ci vuole la carta, il pin e la scatoletta e quindi se non hanno questo non possono far nulla o no, non sò se mi sono spiegato.

[Gennarino]

Quote:

Originariamente inviato da linux964

scusate ma io una cosa non ho capito, ho un conto con bancopostaclik, allora quando vado in homepage sulla destra per entrare si deve inserire nome utente e password giusto ma su questa homepage non c'è il lucchetto e non e una pagina https quindi possono prendere la mia password, altra cosa se prendono nomeutente e pass. entrano e vedono solo il mio conto e basta? perchè per le transizioni ci vuole la carta, il pin e la scatoletta e quindi se non hanno questo non possono far nulla o no, non sò se mi sono spiegato.

La pagina dovrebbe essere composta anche da IFRAME che e' possibile rendere sicuri attraverso l'SSL. Presumo, non ho verificato, che come per le banche, anche Poste Italiane utilizzi l'IFRAME sotto HTTPS ed e' per questo che non appare il lucchetto.

[Gennarino]

Quote:

Originariamente inviato da Gennarino

La pagina dovrebbe essere composta anche da IFRAME che e' possibile rendere sicuri attraverso l'SSL. Presumo, non ho verificato, che come per le banche, anche Poste Italiane utilizzi l'IFRAME sotto HTTPS ed e' per questo che non appare il lucchetto.

Edit: confermo, il frame e' in HTTPS: https://www.poste.it/online/personale/loginPrivati.fcc

[Rizlo+]

L'https serve solo per evitare che user e pass passino in chiaro nel caso in cui qualcuno ti sniffi il traffico ad esempio se usi una rete wireless non protetta.

La vulnerabilità di cui parlo che ha causato il defacement non ha nulla a che vedere con la questione http/https ma è una vulnerablità che permette di leggere il database.

Cmq si alla peggio possono accedere al conto senza eseguire operazioni perchè ci vuole appunto il token RSA (o il foglietto delle chiavi per i conti più vecchi)

Il fatto che non possano arrivare ai $oldi non è abbastanza per farmi stare tranquillo perchè questa è davvero grossa... (più che altro il fatto si saperlo da oltre 1 mese e non aver fatto nulla!!)

[Rizlo+]

Grazie Gennarino per la precisazione, è proprio così l'autenticazione avviene in https anche se non si vede dal browser perchè è in un iframe con il solo form di login.

[LUVІ]

Quote:

Originariamente inviato da Rizlo+

L'https serve solo per evitare che user e pass passino in chiaro nel caso in cui qualcuno ti sniffi il traffico ad esempio se usi una rete wireless non protetta.

La vulnerabilità di cui parlo che ha causato il defacement non ha nulla a che vedere con la questione http/https ma è una vulnerablità che permette di leggere il database.

Cmq si alla peggio possono accedere al conto senza eseguire operazioni perchè ci vuole appunto il token RSA (o il foglietto delle chiavi per i conti più vecchi)

Il fatto che non possano arrivare ai $oldi non è abbastanza per farmi stare tranquillo perchè questa è davvero grossa... (più che altro il fatto si saperlo da oltre 1 mese e non aver fatto nulla!!)

Quoto tutto. Soprattutto l'ultima frase.

LuVi

[cagnaluia]

allora, sono amici nostri questi hackers?

[Rizlo+]

Beh... Quelli che hanno fatto il defacement direi di si!

Purtroppo la reazione è stata la solita roba "all'italiana"... Il problema si solleva dopo che la frittata è fatta, sempre a cavallo di un'onda emotiva di indignazione (ipocrita al 99%), come tutte le "emergenze" vere o false che siano in questo paese...

[linux964]

grazie delle delucidazioni

[-kurgan-]

Quote:

Originariamente inviato da Pess

Confesso di essere ignorante in materia, perciò volevo chiedervi un consiglio terra terra... Dopo ciò che è successo mi consigliate di cambiare la password del mio account?

in prima battuta sicuramente SI.
in seconda battuta cambia banca e passa a qualcuno di più serio

[Raven]

.... se mi aiutate a capire sta cosa strana....

Voilevo cambiare password... mi loggo (con la mia solita password)... ma nella pagina di cambio password NON me la fa cambiare, dicendomi che "La password attuale inserita non è corretta".

Ovviamente la password attuale è quella che vorrei cambiare ed è corretta (provato a sloggarmi e riloggarmi e funziona!)... però non c'è verso di fargliela accettare nella pagina del cambio!... ma che cacchio è?!?!?!



edit: mo' crasha non appena provo a cliccare sul cambio password.... di bene in meglio!

[ZetaGemini]

Quote:

Originariamente inviato da Raven

.... se mi aiutate a capire sta cosa strana....

Voilevo cambiare password... mi loggo (con la mia solita password)... ma nella pagina di cambio password NON me la fa cambiare, dicendomi che "La password attuale inserita non è corretta".

Ovviamente la password attuale è quella che vorrei cambiare ed è corretta (provato a sloggarmi e riloggarmi e funziona!)... però non c'è verso di fargliela accettare nella pagina del cambio!... ma che cacchio è?!?!?!



edit: mo' crasha non appena provo a cliccare sul cambio password.... di bene in meglio!

adesso funziona?

[Raven]

Quote:

Originariamente inviato da ZetaGemini

adesso funziona?

Direi di no... La password attuale inserita non è corretta.

... assurdo... per fortuna NON ho un conto bancoposta e sulla postepay tengo di volta in volta la cifra necessaria per una transazione...

[Gennarino]

Io sto provando a loggarmi e mi restituisce questo errore:

Quote:

Servizio non disponibile

A causa di adeguamenti tecnici, il servizio è temporaneamente sospeso. Ci scusiamo per il disagio arrecato.


Poste.it

[Jarni]

Quote:

Servizio non disponibile

A causa di adeguamenti tecnici, il servizio è temporaneamente sospeso. Ci scusiamo per il disagio arrecato.


Poste.it

"Oh, no, ancora!" cit.

[Freeskis]