Settimana Nera 2019-Giorno 03

Indice

Siamo al terzo giorno di attacco che, tra le altre cose, coincide con la Million Mask March che anonymous ha organizzato nelle principali città del mondo e con la fatidica data legata all’evento storico noto come La Congiura delle Polveri. Vediamo di fare il punto della situazione con un articolo quanto più completo e chiaro possibile.

Messaggio

Salve popolo italiano,
Anonymous Italia è di nuovo qui.
Il 2019 è stato un anno interessante.
Nel teatro mondiale Trump continua a premere sul capitalismo del “profitto ad ogni costo”.
Le nazioni delle regioni artiche si preparano a sfruttare le nuove rotte marine ora possibili grazie alla riduzione del permafrost.
In Brasile, e nel resto del Sud America, migliaia di chilometri quadrati di foreste vengono tagliati per utilizzarne il legno o per fare spazio a pascoli e campi di coltivazione intensiva.
L’industrializzazione di Cina e India continua a creare milioni di nuovi consumatori,
Le guerre aumentano in svariate parti del globo, come sempre frutto di giochi di potere ed economici da parte dei potenti, a discapito dei più deboli.
Dopo aver venduto armi alla Turchia e avendo tranquillizzato i Kurdi sul fatto che li avremmo difesi, oggi ci troviamo semplicemente a girare la testa dall’altra parte,
facendo così il gioco del dittatore di turno.
E noi italiani? Continuiamo a litigare per chi “comanda”. Per chi ha “più potere”.
E continuiamo a mandare persone allo sbaraglio politico per noia, rabbia o per dare un “vaffanculo” generale.
Destra, sinistra, centro e tutte le possibili combinazioni di partiti, non-partiti, leghe e movimenti. Il risultato rimane lo stesso.
Non sono le persone a fallire.
È il sistema.
Un altro anno è passato!
Un altro anno a ricordare quello che dovrebbe essere un giorno di “liberazione” per il mondo, e non solo per noi Anonymous.
Perché il 5 Novembre non è solo il giorno in cui trasmettono V per Vendetta in televisione, ma è un giorno di ribellione. Ribellione contro quegli stati malati, approfittatori, corrotti che ormai sembrano essere un cliché delle nostre nazioni.
Inutili sembrano gli sforzi di quelle poche migliaia di persone che lottano e ancora credono che sia possibile poter inventare un mondo senza queste oscenità.
Sforzi di Persone come Assange, Snowden, o anche di Movimenti come Extinction Rebellion e perché no anche Anonymous, sembrano inutili a confronto di tanta ignoranza, e strafottenza del becero popolo che altro non fa che ancora credere ai nostri “Leader” portatori di morte e venditori di menzogne.
Ma d’altronde, se dobbiamo parlare del nostro paese, si sa che l’italiano medio è così, pronto a vendersi per un posto di lavoro che non arriverà mai.
Pretendono di sapere e di conoscere tutto, di andare qua e la per fare i loro inutili commenti. Li leggiamo e sentiamo ovunque, nei bar, in strada, tv e anche sul nostro modesto blog.
Pretendono anche di conoscere la cybersecurity, la privacy e l’anonimato, e poi li trovi a chattare su Facebook o Telegram, che tutto sono al di fuori che anonimi e/o sicuri.
Commenti infantili sui nostri databreach del tipo “ahaha hanno usato un tool automatico” oppure “anche mio figlio sa farlo”. Ma come cazzo si fa ci chiediamo?
Usi la macchina per spostarti? La penna per scrivere? Ebbene sì, noi utilizziamo anche tool automatici che semplificano e velicizzano il classico lavoro manuale, visto che anche Noi come Voi, lavoriamo, abbiamo famiglia. I nostri tool sono solo mezzi, a quanto pare, criticati da ignorantoni ed incapaci, bravi solo a criticare e mai mettersi in gioco, a meno che non ci sia un guadagno, d’altronde è questa l’Italia, no?
Oppure ci sono quelli che dicono “eh ma senza metterci la faccia è semplice”. Credete che le facce, le bandiere o i partiti siano importanti?
Per noi sono importanti solamente i risultati, che purtroppo non vediamo da anni!
I nostri databreach dovrebbero far pensare a quanto sia importante quel che facciamo, perché nei dump che diffondiamo vengono esposte dati che riguardano direttamente la vostra privacy, e allo stesso tempo viene esposta sia l’incapacità di chi si è assunto la responsabilità di proteggere tale privacy, sia il non rispetto di leggi che essi stessi hanno creato.Facendo questo portiamo a conoscenza di chi gestisce il servizio, di porre rimedio ad una grave falla, e permettendo così agli utenti di aggiornare i propri dati con cadenza regolare, facendo così capire che password come “pippo” o “12345”, non dovrebbero essere usate, ne tantomeno accettate dai gestori di servizi.In questi giorni, vogliamo ricordarvi che ci sono alternative.
Con le nostre azioni (a volte commentati come infantili, futili o “ridicole”), non cerchiamo di cambiare il mondo, ma dare una voce a quelle persone che non vengono mai ascoltate.

Fonte: Anon Blog

Il messaggio di Anonymous è particolarmente lungo, complice anche la data importante: un anno di attacchi che il Collettivo rivendica insieme ai risultati raggiunti. Concentriamoci sui target che sono stati numerosi e hanno diverse peculiarità.

Target

I target colpiti oggi dal Collettivo sono 11:

  1. Pari opportunità delle Marche
  2. Consiglio Regionale del Friuli Venezia Giulia
  3. Istituto Grandi Infrastrutture
  4. Ordine Avvocati Grosseto
  5. Ordine Avvocati Arezzo
  6. Ordine Avvocati Perugia
  7. Unione Degli Avvocati d’Italia (UDAI)
  8. Istituto Nazionale Tributaristi
  9. Associazione Nazionale Polizia di Stato
  10. Prefettura di Napoli
  11. Associazione Visuristi Italiana

Analizzeremo ora i casi più importanti tra quelli elencati, poiché di altri la situazione di data breach è piuttosto comune.

Camera dei Deputati

Il defacing sulla Camera

Stando a quanto pubblicato dal Collettivo, la Camera dei Deputati avrebbe subito sia un defacing che un databreach. Ad essere colpito è il catalogo della biblioteca della Camera. Per molti questo attacco può non avere senso ma indubbio è il valore simbolico. Il Collettivo avrebbe così dimostrato di poter arrivare al cuore istituzionale del Paese seppur esponendo un database di poco valore materiale.

Aggiornamento del 13 novembre 2019, il giornalista Arturo Di Corinto ha pubblicato un tweet nel quale conferma che alcuni server di Montecitorio sono stati compromessi dalle incursioni del collettivo Anonymous Italia. Per correttezza si riporta la notizia integrale.

https://twitter.com/arturodicorinto/status/1194590580862570496?s=21

Prefettura di Napoli

È stato colpito l’Ufficio Territoriale della Prefettura di Napoli, con l’esposizione di una notevole quantità di dati contenenti anche password in chiaro, al di sotto dei requisiti minimi di sicurezza. La password di amministratore non sarà pubblicata per una questione di etica professionale ma viene mostrato un elenco di utenze opportunamente censurate per far capire le password adottate dal sistema.

Nonostante la tabella cusers fosse protetta dal meccanismo di hashing, l’adozione di password deboli da parte degli utenti, ha reso inutile questo meccanismo di protezione.

Estratto censurato della tabella jos_user

La tabella jos_user mostra l’elenco di username e password in chiaro anche in questo caso assolutamente inefficaci dal punto di vista della robustezza. Si notano password di tre lettere come sgr o password di scarsa complessità come password. Si fa notare che al momento il dominio in oggetto non è protetto da certificato di sicurezza e non è ritenuto sicuro dai browser.

Sono stati esposti anche i dati dei consiglieri (tabella consiglieri) con dati come NOME, COGNOME, SESSO, LISTA DI APPARTENENZA, DATA DI NASCITA, LUOGO DI NASCITA, ETC…

Particolarmente delicata la tabella user_prot_civ che implementa credenziali utente in chiaro dedicate alla protezione civile.

Associazione Visuristi

Anche l’Associazione Visuristi espone una sicurezza del proprio sito in chiaro, con credenziali di amministrazione sotto il livello minimo garantito.

Nel caso sopra esposto e opportunamente censurato, si mostra la sola password per una delle utenze di amministrazioni senza fornire il resto delle credenziali. La password è per l’appunto visuristi. Da notare la totale assenza di numeri, simboli e/o permutazioni atte a garantire un maggior livello di sicurezza.

La gravita di questo dump è rappresentato dal fatto che all’interno sono contenuti tutti i dati dei clienti iscritti, con tanto di password in chiaro, numero di cellulare e indirizzi di posta elettronica e sede legale. Parliamo nel dettaglio della tabella utenti_registrati del database associo_visuristi. Nell’immagine precedente potete vedere le password contrassegnate dalle frecce. Il contenuto del dump espone anche la newsletter inviata dall’Associazione, con tanto di messaggi per intero. Se ne riporta uno opportunamente censurato.

Data la dimensione del file vi invito a cliccarlo per vedere la versione ingrandita.

Associazione Polizia

Dunque questo è un caso interessante perchè l’Associazione Polizia fu colpita da un data breach anche il 20/07/2015 come dimostrato dal seguente link. Purtroppo è stato possibile effettuare un confronto con i vecchi dump non più disponibili ma è stata condotta un’analisi sul set di dati pubblicati dal Collettivo per scoprire che le utenze degli iscritti sono in chiaro e non rispecchiano i criteri minimi di sicurezza. Il problema, tuttavia, è capire come mai l’Associazione Polizia sia stata presa di mira una seconda volta. Nel danno, l’unico aspetto positivo è che le password non sono ricollegabili ad un “nome e cognome” ma ad un ID utente anonimo. Anche questo dominio non risulta essere protetto da un certificato di sicurezza.

UDAI – Unione Degli Avvocati Italiani

Il dump del sito dell’UDAI espone diverse tabelle con dati reali e originati da traffico fatto da bot ma c’è un dettaglio che vorrei far notare. Nella tabella anagrafica_utente compare un utente appartenente alla JCOMITALIA (https://www.jcomitalia.com). L’azienda si definisce leader nel settore della costruzione di servizi internet e siti web. La JCOMITALIA ha firmato il sito dell’UDAI ma il suo referente ha impostato la password come 12345. Per correttezza e trasparenza tutto è documentato come sempre da immagini.

Ordine degli Avvocati di Arezzo e Grosseto

Vi è una curiosità tra questi due ordini: hanno un amministratore in comune. La cosa non rappresenterebbe un problema se non fosse che la password per i due siti è la medesima (oscurata nell’immagine). Ad ogni modo il meccanismo di hashing ha protetto la parola chiave.

Conclusioni

A valle di questi tre giorni di attacchi sono emerse delle criticità nell’adozione delle password anche quando protette da meccanismi di hashing, comunque non sempre presenti. Persistono, invece, le assenze dei certificati SSLDV che vengono ceduti, lo ricordiamo per correttezza, a titolo gratuito dai principali provider di servizi di hosting. Rilevante, nel caso dell’UDAI, è la scelta di password adottata dall’amministratore tecnico del portale, appartenente ad un’azienda esterna. In questi minuti il Collettivo LulzSec_ITA ha pubblicato un breach dell’operatore mobile LycaMobile che sarà analizzato appena possibile.