Settimana Nera 2019-Giorno 01

Indice

La settimana nera sembrava non doverci essere. Nel silenzio più totale i giorni sono passati ma i tweet di Anonymous si erano fatti sentire: il 5 novembre ci sarà la Million Mask March nelle più importanti città del mondo, Roma compresa. Man mano che ci avvicinavamo alla data, il Collettivo ci ha ricordato che ci sarebbero state novità…e le novità sono arrivate. Sono iniziati gli attacchi e benché rischiano di non essere della durata di una settimana, promettono di essere decisamente “fastidiosi”. Oggi è stato il primo giorno ed il tema attorno a cui sono ruotati gli attacchi è stato l’ambiente.

Il Messaggio

Come sempre iniziamo con il riportare il messaggio pubblicato sul blog di Anonymous e inerente questa prima giornata di attacchi.

Salve Italiani,
questo comunicato é da parte di Anonymous Italia.
Oggi abbiamo deciso di farci conoscere da quelle Istituzioni del nostro paese,che dovrebbero essere le prime ad informare e lottare con i nostri agricoltori e artigiani contro il cambiamento climatico,iniziando ad utilizzare diverse metodologie di agricolture piu’ biologiche e prive di disserbantie/o prodotti nocivi sia all’ambiente sia alla flora e fauna del nostro territorio.
Ma non solo questo! Tutto il mondo ormai é a conoscenza del problema ambientale del nostro pianeta,manifestazioni di milione di persone si sono svolte e si svolgono per cercare di sensibilizzare i nostri Governi che ignorano il pericolo ormai imminente, interessati solo al profitto e al loro benessere, mai interessati a quello che secondo loro e’ un problema solo del popolo.
Studi fatti dai piu’ grandi scienziati,e reperiblili facilmente online parlano chiaro,stiamo uccidendo il nostro pianeta e poco o niente si sta facendo per frenare questo genocidio della naturra e dell’uomo.
I dati postati svelano la pochissima o addirittura assenza di sicurezza nella infrastrutture del nostro paese, ancora una volta la nostra privacy non é tenuta affatto in conto, sbattendonesene di usare una semplice crittografia delle password oppure ancora piu semplicemente non usare password come quelle che potete vedere riprtate qui si seguito.
Ma tranquilli!!
Siamo noi i terroristi, delinquenti, fuorilegge!!

Fonte. Anon Blog

Si rinnova così la promessa che il Collettivo aveva fatto alla comunità di Internet in merito alle tematiche di protezione ambientale e di sicurezza informatica. Come sempre invito tutti i lettori a tralasciare giudizi di valore e ad affidarsi alla più imparziale valutazione oggettiva delle evidenze pubblicate.

Target

Anonymous oggi ha attaccato 6 target tutti a sfondo ambientale. Gli obiettivi sono stati:

  1. Confagricoltura Piemonte (data breach e defacing)
  2. CO.DI.MA. – Consorzio Difese Agricole Mantova e Cremona (data breach e defacing)
  3. Periti industriali di Rieti (data breach)
  4. Agrotecnici Piemonti (data breach)
  5. Agrotecnici Cuneo (data breach)
  6. EBITER – Ente Bilaterale Turismo e Servizi (data breach)

Per tutti c’è stato il data breach ma per due soggetti in particolare c’è stato anche de-facing: la Confagricoltura Piemonte e la CO.DI.MA.

Considerazioni

Le tabelle pubblicate hanno mostrato, per la maggioranza dei casi, password sottoposte a meccanismi di hashing mentre nel caso di un target in particolare le password erano salvate in chiaro ed in alcuni casi erano dei comuni codici fiscali dell’utente.

Un’estratto censurato della tabella ‘cms_accounts’ database ‘peritiin_db1’ in cui la password coincideva con il codice fiscale

La password, nel caso in oggetto, coincide perfettamente con il codice fiscale dell’utente iscritto. Ci sono utenze con password ancora più semplici ossia fatte di caratteri e numeri o solo di numeri e ciò denota scarsa attenzione nell’adozione dei meccanismi di protezione.

Per tutti i target c’è stata una sensibile fuoriuscita di dati personali e, nel caso di CO.DI.MA, vi è anche l’aggiunta di un campo atto a giustificare il motivo dell’iscrizione dell’utente al portale.

I dati riportati in questa colonna sono molto interessanti, ci sono privati che si sono iscritti esclusivamente per curiosità, ci sono aziende che cercando l’accesso a dati metereologici ma soprattutto ci sono dettagli che possono essere usati per scoprire qualcosa di più su ogni singolo utente: professione, ruolo aziendale, interessi particolari. Sono dati che possono sembrare senza importanza ma, inseriti in un contesto di analisi corretta, possono avvalorare e dare spessore al profilo dell’utente.

Emerge anche un altro dettaglio: la poca movimentazione degli account registrati all’interno di questi portali. Le date di colonne come la “Last Visit Date” o la “Updated Date” sono generalmente vecchie di mesi ma ci sono casi di date vecchie di anni.

Nel caso di CO.DI.MA. la data più recente risalirebbe al marzo 2019, la tabella è molto estesa ma basta effettuare un normale comando “Cerca” ed inserire anno e mese per trovare le occorrenze.

Un ulteriore aspetto di analisi è la scelta dei CMS adottati che, in taluni casi, rimanda alle IIS di Microsoft in versione 8.5 (supportate in ambienti Windows 8.1 e Windows Server 2012 R2); ricordiamo che la versione attuale delle IIS è la 10.0. Sono questi i casi di Agrotecnici Piemonte e Agrotecnici Cuneo.

Anche il sito del domino http://www.confagricolturapiemonte.com gira sotto IIS 8.5 al momento della scrittura del presente articolo. Altro discorso vale per i certificati di sicurezza per la convalida del dominio, i cosiddetti certificati DV. Come molti di voi sapranno, questo tipo di certificato viene rilasciato gratuitamente da molti provider (ad es.: Aruba). Ebbene la situazione dei target colpiti è la seguente.

Nome dominioPresenza del certificato
Periti Industriali RietiNon presente
EBITER – Ente Bilaterale Commercio Turismo e ServiziNon presente
Agrotecnici CuneoNon presente
Agrotecnici PiemonteNon presente
CO.DI.MA.Non presente
Confagricoltura PiemonteNon presente

Agli occhi dei più comuni browser, ciascuno di questi portali risulta “Non sicuro” (come mostrato da Safari ad esempio). Si riportano gli screenshot eseguiti su ogni singolo sito a dimostrazione dell’assenza di qualsiasi certificato che possa validare il dominio. Cliccare su un’immagine per ingrandire il contenuto.

Conclusioni

Il messaggio che Anonymous vuole mandare va in tre direzioni. Da una parte c’è la ripresa del tema ambientale che, senza dubbio, è stato al centro degli ultimi mesi (complice anche la tragedia della foresta amazzonica). Un secondo aspetto riguarda la sicurezza informatica, inficiata ancora troppo dall’impiego di password semplici e sistemi informatici non sempre recenti o configurati adeguatamente. Un terzo aspetto è una critica aspra alla privacy e al GDPR che sarebbe palesemente non rispettato senza però alcuna conseguenza su chi gestisce i dati pubblici, sottovalutando la parte di sicurezza informatica e, di conseguenza, sottostimando i rischi delle conseguenze.