Giornata nera per la CyberSecurity (e soprattutto per la città di Milano)

Giornata nera per la CyberSecurity (e soprattutto per la città di Milano)

Cinque attacchi pubblicati dal gruppo Anonymous Italia, di cui tre ai danni della città e della provincia di Milano, ma cosa sta succedendo? Vediamolo assieme.

Cosa prendiamo in esame

  • Area Ambiente della città metropolitana di Milano (link)
  • Servizi “in linea” città di Milano (link)
  • Albo fornitori città di Milano (link)

L’esame dei dump pubblicati ha mostrato la solita problematica nella scelta della password, unità spesso alla tecnologia impiegata. Ad esempio il dump pubblicato per l’area Ambiente mostra quanto segue:

Screenshot della tabella utenti

L’utente gestore, che ha come username gestore ha una password che include la medesima parola e che, come potete notare, non è cifrata. La tecnologia alla base è basata su Microsoft Access. L’Albo Fornitori di Milano non è da meno.

Tabella Utenti_comunali

Oscurando i dati personali dei soggetti ho voluto lasciare scoperta solo una porzione di una delle password pubblicate dagli hacker per farvi capire anche qui che non vi è cifratura delle password, né l’adeguata complessità nell’adozione della password. Per Milano la giornata è stata decisamente difficile ma non è stata la sola colpita.

ViviBanca e il Dipartimento d’Ingegneria dell’Università Mediterranea di Reggio Calabria

L’attacco a ViviBanca è particolarmente grave considerando che il target è, per l’appunto, una banca. Tra le tabelle esposte anche la vb_aperturaconti con 2010 record. Per riservatezza non sarà pubblicato uno screenshot dei dati della tabella ma solo l’intestazione.

La fuoriuscita di questi dati è particolarmente grave per una banca che, più di tutti, dovrebbe avere sistemi e metodologie di sicurezza orientata a garantire una reale riservatezza del dato.

Sul Dipartimento d’Ingegneria dell’Università Mediterranea di Reggio Calabria la situazione è quella enunciata all’inizio: scarsità di sicurezza nella gestione delle password come dimostrata dallo screenshot seguente.

Screenshot della tabella moodle_utenti

Leggermente meglio la tabella chiamata PWD contenente le password delle matricole: in questo caso era presente l’hashing anche se, in molti casi inutili essendo la password molto semplice.

Screenshot della tabella PWD (DB unirc_new )

Conclusioni

Al di là della notifica al Garante, la dimostrazione di questi attacchi tende a confermare la scarsa attenzione alle misure minime di sicurezza informatica da parte di chi implementa i sistemi, oltre che una corresponsabilità da parte di chi adotta password banali come 12345 oppure agenda. Senza dubbio questo secondo fenomeno potrebbe essere arginata attraverso l’adozione di “meccanismi d’obbligo” che impongano all’utente finale di usare password sicure, oppure (e sarebbe auspicabile), l’adozione dell’autenticazione a due fattori.