Dalle ultime novità sul fronte hacking si prospetta una primavera “calda” per ciò che riguarda il panorama italiano legato alla sicurezza web. Ieri vi avevamo segnalato la vulnerabilità sql injection nel sito del Leader Pd Pier Luigi Bersani, bersani2013.it. Quest’oggi su OverSecurity viene segnalata una falla sempre Sql Injection per un sottodominio dell’Ansa.it trovata da S1ckb0y.
Da qualche ora infine nuovamente Gr33nRage ha pubblicato altre falle trovate in diversi siti di prim’ordine.
Questa volta a cadere vittime della vulnerabilità sql injection sono stati un sottodominio del Corriere della Sera, cinquantamila.corriere.it, gestito dal giornalista Giorgio Dell’Arti e dedicato a ripercorrere tutti i 54mila giorni che han portato all’unità d’Italia. Come sempre su PasteBin è stato pubblicato il dump del database e uno screenshot rappresentate il listing di una delle tabelle contenenti user, password e ip.
A seguire è stato colpito un altro sottodominio, questa volta del CNR, il Centro Nazionale Ricerche. Il sottodominio, dedicato all’Istituto di Ricerca sulle Acque, analizzando il dump, presenta l’installazione del Cms Piwik ma, soprattutto, si vede che uno dei Db accessibili si chiama “NewIntra” che fa pensare ad una Intranet che potrebbe contenere dati sensibili.
Infine, ciliegina sulla torta, il dump db dei Vigili del Fuoco italiani! Questa volta però non parliamo di sottodomini ma del sito vero e proprio: vigilidelfuoco.it. Il db appare molto vasto e articolato e pensare che una delle istituzioni italiane sia stata violata fa (o almeno dovrebbe) riflettere su come la sicurezza informatica sia trascurata a qualsiasi livello. Sia che si parli di un blog, sia che si parli di siti istituzionali come questo dei Vigili del Fuoco o come i passati Carabinieri o Polizia di Stato.
Analizzando quanto visto lo scorso anno e quanto già è stato rivelato in questi primi giorni di Marzo rimane ancora da capire come mai la sicurezza informatica non venga considerata alla pari della sicurezza di un edificio istituzionale o di una caserma. In Italia abbiamo diversi esperti che hanno dato una grossa mano alla scoperta e alla ricerca nel settore della sicurezza informatica eppure la cultura generale rimane ancora una volta la solita a cui siamo abituati da anni.
Pagare per proteggersi da qualcosa che non si vede e non si tocca all’italiano non piace. Un sistema di allarmi con sensori per ogni cosa ci piace; lo paghiamo subito, lo vediamo, lo tocchiamo, lo attiviamo, lo disattiviamo. Pagare per un team di sicurezza che esegua un’analisi approfondita della tua azienda e indichi quali informazioni sensibili potrebbero cadere in mani improprie rimane una spesa inutile… Tanto son cose che non succedono!
Mentre in America Obama indica la luna preparandosi alla guerra cibernetica in Italia continuiamo a guardare con orgoglio il dito…