[NEWS] Sicurezza, attacco alla PA italiana

[c.m.g]

martedì 22 novembre 2016

Spoiler:

Quote: Uno dei siti del Ministero della Funzione Pubblica è stato reso inaccessibile da un banale attacco SQL injection. Il giovane, che si fa chiamare Kapustkiy, ha messo le mani su di un database di 45mila credenziali. Anche Equitalia nelle scorse ore ha sofferto

Roma - Per bucare il sito governativo mobilita.gov.it del Ministero della Funzione Pubblica è bastato un semplice attacco di SQL injection: il Dipartimento della Funzione Pubblica e il Governo, non sono stati in grado di proteggere dati e servizi della pubblica amministrazione dagli attacchi provenienti da un ragazzo di appena 17 anni, tale Kapustkiy, già noto per avere creato problemi simili in varie nazioni. L'attacco gli ha permesso di accedere a un database di 45mila credenziali di accesso a servizi della pubblica amministrazione e di condividerne 9mila su Pastebin, allo scopo di spronare gli amministratori del sito attaccato, ancora fuori servizio per manutenzione, a risolvere il problema.

mobilita.gov.it

L'aspetto più rilevante della vicenda è probabilmente il fatto che i funzionari abbiano ignorato le email del giovane, almeno secondo quanto riferito dallo stesso Kapustkiy, che avrebbe inutilmente cercato di contattare gli amministratori del sito per segnalare la vulnerabilità: "Non ho ricevuto nessuna risposta da loro", ha riferito il diciassettenne, il quale spera che con l'attacco e la conseguente fuoriuscita di dati li convinca ad adottare contromisure efficaci.

The funny thing about this is that Ìm not even a hacker but the media is keeping pushing that Ìm a hacker.
- Kapustkiy (@Kapustkiy) 19 novembre 2016



Kapustkiy ha persino ironizzato sulla vicenda con un tweet nel quale precisa di non essere un hacker, nonostante la stampa si ostini a definirlo tale. Sull'accaduto è intervenuto anche Andrea Rigoni, esperto di sicurezza italiano e consulente per la NATO, il quale, intervistato da Repubblica, ha criticato l'assenza di reazione da parte delle autorità nazionali, stigmatizzando la mancanza di risposta rispetto ai tentativi di contatto intrapresi dal ragazzo. A poche ore dall'accaduto, sono stati presi di mira anche i server di Equitalia, bersaglio di un attacco che ha messo fuori uso il sito web, che ora sembra essere tornato alla normalità. Ad annunciare l'interruzione temporanea dei servizi è stata la stessa agenzia di riscossione mediante un tweet.

Il portale web di #Equitalia al momento non risulta accessibile a causa di un attacco di hacker informatici. Ci scusiamo per i disagi
- Equitalia (@equitalia_it) 21 novembre 2016



In questo caso, però, il problema potrebbe essere riconducibile ad una vulnerabilità di WebSphere, l'application server di IBM già al centro delle attenzioni per un exploit del quale è stato pubblicato un parziale Proof-of-Concept del codice, dopo l'intervento dell'azienda produttrice.

#Equitalia a Nudo @Connessioni https://t.co/yU2bCwo9aYhttps://t.co/KF8F1Nze97

Che sta succedendo? pic.twitter.com/bflHLJOG6d
- Fabio Natalucci (@FabioNatalucci) 21 novembre 2016




Per quanto concerne Kapustkiy, il cui intento era semplicemente quello di tentare di accedere ai server istituzionali per dimostrarne la vulnerabilità, la lista dei siti attaccati negli ultimi mesi comprende l'ambasciata paraguaiana di Taiwan, le ambasciate indiane di Svizzera, Mali, Romania, Italia, Malawi e Libia. Il diciassettenne ha compromesso anche due sottodomini della Virginia University e un sottodominio della University of Wisconsin.

The main thing was that I tried to get some "thank you" from websites for reporting. Only the Indian Embassy thanked me.
- Kapustkiy (@Kapustkiy) 20 novembre 2016



In un'intervista rilasciata a SecurityAffairs si legge che il giovane si ispira al movimento LulzSec anche se non ne condivide pienamente lo spirito: "La mia motivazione è legata al fatto che mi piace aiutare gli amministratori a configurare i loro siti in maniera che possano renderli sicuri", sperando in un futuro lavoro nell'industria della cyber security.

Thomas Zaffino






Fonte: Punto Informatico