Vai al contenuto
Anonymous “attacca” la pagina Facebook di Salvini? Occasione per ripassare la sicurezza di base

Anonymous “attacca” la pagina Facebook di Salvini? Occasione per ripassare la sicurezza di base

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Leggo su ANSA che ieri sera c’è stato un “attacco” di Anonymous Italia alla pagina Facebook del segretario della Lega Matteo Salvini: nella pagina, dice ANSA, è stato postato un messaggio (il solito slogan di Anonymous) accompagnato da un’immagine della maschera-logo di Anonymous. Il Fatto Quotidiano ha lo screenshot completo e altri dettagli.

Lascio perdere qualunque considerazione politica, ma l’episodio mi sembra una buona occasione per ricordare che esistono alcune regole di base della sicurezza informatica che andrebbero rispettate:

– usare password non ovvie
– usare password non usate altrove
– attivare l’autenticazione a due fattori (ce l’ha anche Facebook dal 2011, ma è largamente ignorata)
– impostare i contatti fidati per il recupero dell’account
– controllare che ogni richiesta di password sia in HTTPS (lucchetto chiuso)
– non abboccare alle mail di phishing

Sarebbe interessante sapere se/quali/quante di queste regole sono state disattese, permettendo questo “attacco” (la mia chiave pubblica PGP è a disposizione). Uso le virgolette perché se manca il rispetto di queste basi, parlare di “attacco” è un’esagerazione: significa attribuire all’intruso una temibile sofisticazione che in realtà non è stata necessaria. Certo, violare un account è comunque un reato, ma se lascio la chiave di casa sotto lo zerbino, dico forse che mi hanno attaccato la casa? O semmai dico che sono pirla io che ho lasciato la chiave in un posto ovvio?

Cogliete insomma l’occasione per mettere a posto le impostazioni di sicurezza del vostro account Facebook e anche degli account che avete altrove. Non vorrete mica fare la stessa fine di Salvini.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Trump, attaccato il suo sito per ricevere donazioni, ma sembra un atto di vandalismo dilettantesco

Trump, attaccato il suo sito per ricevere donazioni, ma sembra un atto di vandalismo dilettantesco

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Poche ore fa il sito secure2.donaldjtrump.com, che raccoglie le donazioni per Donald Trump, è stato violato inserendo una pagina di rivendicazione, mostrata qui sotto. Il messaggio che contiene dice “Hacked By Pro_Mast3r ~ / Attacker Gov / Nothing Is Impossible / Peace From Iraq”.

Su Twitter, @pwnallthethings ha segnalato la violazione e ha notato che il sito è in realtà ospitato su Pantheonsite.io ed è gestito tramite WordPress:

Il codice sorgente della pagina è questo:

Non contiene codice ostile ma contiene un link a un Javascript, che però non esiste all’URL linkato. È strano che un aggressore violi un sito così in vista come quello di Trump senza controllare se il codice che sta caricando funziona o no: un comportamento molto dilettantesco. Di questo script ci sono copie in Archive.org, anche se la più recente che ho trovato risale al 31 luglio 2014:

Lo script sembra un generatore di fiocchi di neve ed è “firmato” da btinternet.com/~kurt.grigg/ (oggi inesistente). Un lettore, @AronFiechter, l’ha provato e gli risulta essere proprio un generatore di un’animazione che crea l’illusione di una nevicata sullo schermo. Inoltre un altro lettore, @simoneborgio, ha notato che il nome del file, salju, significa neve in indonesiano. Questo è il codice:

Il sito che ospita l’immagine presente nella pagina di defacement è invece ospitato su quello che @simoneborgio ritiene sia un hosting comune in lingua araba:

Il fatto che la “rivendicazione” sia generica e che il Javascript linkato non funzioni sembra indicare un attacco non mirato e non professionale; è possibile che si tratti di un attacco automatizzato a tutti i siti che usano WordPress e non hanno ancora installato le ultime correzioni di sicurezza. Ma questo fa pensare che per violare il sito di Trump basta un dilettante.

Fonti aggiuntive: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: no, il sito di Donald Trump non è stato violato dagli hacker cattivi

Antibufala: no, il sito di Donald Trump non è stato violato dagli hacker cattivi

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla donazione di marcomal*. Se vi piace, potete farne una anche voi (o fare un microabbonamento) per incoraggiarmi a scrivere ancora.

23:50. Poco fa c’è stata una raffica di tweet di numerosi utenti di tutto il mondo che linkavano il sito del candidato presidenziale statunitense Donald Trump, donaldjtrump.com, mostrando schermate sorprendenti come quella qui accanto, nella quale campeggia l’avviso “0wned by Anonymous”. I link in questi tweet portavano realmente al sito di Trump e lo mostravano effettivamente in queste condizioni.

Ma non si è trattato di un attacco informatico: era semplicemente un difetto nell’impostazione del sito, per cui se si creava un link al sito contenente una stringa di testo, il sito la mostrava. Formalmente è un content spoofing.

Per esempio,

https://www.donaldjtrump.com/press-releases/archive/0wned%20by%20anonymous

visualizzava la schermata mostrata qui sopra. Lo faceva soltanto sul dispositivo del visitatore, ma l’effetto burlesco era assicurato per chi non ha familiarità con il funzionamento degli URL e quindi guardando il link lo riteneva autentico. E infatti almeno una redazione ha abboccato: quella di Slate, che ha poi rettificato.

La scoperta del difetto è merito, per quel che mi risulta, di Parker Higgins qui alle 22:06 italiane. Internet ha reagito molto rapidamente, creando subito un sito che automatizzava la scrittura del testo (Vetotrump.com). Il divertimento (in una lunga notte elettorale ci si diverte con poco) è durato fino alle 23:45 circa, quando i solerti tecnici di Trump hanno modificato il funzionamento della pagina.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Per non affrontare gli esami, studente lancia attacco informatico al governo

Per non affrontare gli esami, studente lancia attacco informatico al governo

Gli studenti che arrivano impreparati agli esami hanno da sempre dimostrato infinita creatività nel trovare modi per svicolare (o tentare di farlo), ma la tecnica usata da un diciassettenne dello Sri Lanka merita una menzione particolare.

Secondo il Daily News dello Sri Lanka, lo studente è stato arrestato perché ha attaccato il sito Web del presidente del paese, Maithripala Sirisena (www.president.gov.lk), sostituendone il contenuto con un messaggio, inizialmente in lingua locale e poi in inglese, che criticava la decisione di tenere gli esami ad aprile proprio a cavallo delle celebrazioni indù per l’anno nuovo e minacciava una “cyberguerra”.

Se verrà condannato, lo studente rischia fino a tre anni di carcere e una sanzione di circa 2000 dollari. Forse gli conveniva studiare.

Fonti aggiuntive: The Register, Hackercg, Zone-deface.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attacco coordinato a Corriere.it e Gazzetta.it

Attacco coordinato a Corriere.it e Gazzetta.it

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/15 13:35.

11:40. Questo era l’aspetto di Gazzetta.it stamattina alle 10:36; il sito è ora inaccessibile. Anche Corriere.it è bloccato. Il Corriere ha twittato di essere sotto attacco. Sembra trattarsi di un dns hijack, secondo i dati raccolti da Luigi Rosa. Aggiungerò qui altre informazioni appena possibile.

13:10. Anche Gazzetta.it ha confermato l’attacco con un post su Facebook. Tutto sta tornando alla normalità: per i dettagli consiglio il riassunto di Luigi Rosa su Siamogeek, che sottolinea alcune assurdità di sicurezza che hanno facilitato questo attacco ai danni di due delle principali testate giornalistiche d’Italia. Immaginate il potere che avrebbe, per esempio sotto elezioni, chi sostituisse il Corriere vero con una copia alterata che contiene notizie di brogli o assegna la vittoria al candidato o al partito sbagliato.

Vi sembra fantascienza? In Ucraina nel 2014 è già successo qualcosa di molto simile quando CyberBerkut violò il sito della commissione elettorale nel giorno delle elezioni presidenziali ucraine: gli aggressori mandarono in tilt gli aggiornamenti in tempo reale e 12 minuti prima della chiusura dei seggi pubblicarono sul sito della commissione l’annuncio (falso) della vittoria del candidato che invece aveva perso (PDF, pag. 56).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Siti .it violati, questa settimana c’è anche il CNR

Siti .it violati, questa settimana c’è anche il CNR

Vado subito al sodo: il CNR ha almeno cinque violazioni (quiquiqui, qui e qui).

C’è anche il Comune di Sant’Antioco, l’Istituto Comprensivo Asiago, il Comune di Caltavuturo.

Spicca, oltre al CNR, l’Istituto Comprensivo di Piombino Dese, che ha la home page nelle condizioni che vedete qui accanto da cinque giorni. Anche la home page dell’Istituto Mattei di Maglie è violata, ma solo da oggi. Complimenti.

Tutti i link qui sopra sono protetti con Donotlink, per cui potete esaminarli senza essere portati a contenuti potenzialmente dannosi.

Come al solito, la fonte di queste segnalazioni è Zone-h.org e lascio a voi l’ingrato compito, se volete, di avvisare i gestori di questi siti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Siti di scuole e di comuni italiani violati, nuova infornata

Siti di scuole e di comuni italiani violati, nuova infornata

Zone-h.org segnala che i seguenti siti italiani di scuole e comuni sono stati violati e ospitano in molti casi scritte d’odio da quattro o più giorni. Evidentemente i responsabili della sicurezza (se esistono) hanno qualche problema di attenzione.

Ho spezzato intenzionalmente i link alle violazioni per evitare di finire in qualche lista nera per averli linkati esplicitamente.

Istituto Comprensivo Statale “C. Gennari” di Maratea violato presso http://www.comprensivomaratea.gov.it/ joomla/images/jdownloads/screenshots/nyet.gif.

Istituto Comprensivo Statate “S.G. Bosco” di Molfetta, violato presso http://www.icsbosco.gov.it/ iks.gif.

Comune di Tavoleto violato presso http://www.comune.tavoleto.pu.it/ x.htm.

Comune di Montecopiolo violato presso http://www.comune.montecopiolo.pu.it/ x.htm.

Comune di Mercatino Conca violato presso http://www.comune.mercatinoconca.pu.it/ x.htm.

Comune di Monte Cerignone violato presso http://www.comune.montecerignone.pu.it/ x.htm.

Comune di Montegrimano Terme violato presso http://www.comune.montegrimanoterme.pu.it/ x.htm.

Comune di Isola del Piano violato presso http://www.comune.isola-del-piano.ps.it/ x.htm.

Comune di Carpegna violato presso http://civitas.comune.carpegna.pu.it/ x.htm.

Li avvisate voi?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Vuoi scaricare “Mission: Impossible” pirata? Il Comune di Campofiorito ospita le istruzioni

Vuoi scaricare “Mission: Impossible” pirata? Il Comune di Campofiorito ospita le istruzioni

In sintesi, come ormai consueto, segnalo qui alcune violazioni dei siti di scuole e comuni italiani.

Liceo Avogadro di Biella (violato presso http://www.liceoavogadrobiella.gov.it/joomla/images/jdownloads/screenshots/albanian.gif)

Comune di Paola (violato presso http://www.comune.paola.cs.it/images/jdownloads/screenshots/pz.gif)

Il Comune di Campofiorito ospita addirittura le istruzioni per scaricare l’ultimo film della serie Mission: Impossible, come potete vedere qui accanto (presso http://www.comune.campofiorito.pa.it/index.php?option=com_k2&view=itemlist&task=user&id=5819). Complimenti.

Fonti: Zone-h.org (1; 2) e un lettore che mantengo anonimo.

Alcuni di questi siti sono in questo stato da vari giorni. È andata bene che gli intrusi non ci hanno messo immagini pedopornografiche per poi segnalarli alla polizia. Li avvisate voi?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Scuole e comuni italiani violati, nuova infornata

Scuole e comuni italiani violati, nuova infornata

Come ormai consueto, vado al sodo:

Comune di Santa Sofia violato presso http://www.comune.santa-sofia.fc.it/images/jdownloads/screenshots/albanian.gif

Istituto Comprensivo Enzo Drago di Messina violato presso http://www.icn7enzodragomessina.gov.it/it/images/jdownloads/screenshots/albanian.gif

ITIS Mario Delpozzo di Cuneo violato presso http://www.itiscuneo.gov.it/images/jdownloads/screenshots/albanian.gif

Istituto Bosso Monti di Torino violato presso http://www.bossomonti.gov.it/images/jdownloads/screenshots/albanian.gif

Istituto Comprensivo Statale Ignazio Buttitta di Bagheria violato presso http://www.icsbuttitta.gov.it//images/jdownloads/screenshots/iks.gif

Se qualcuno se la sente di avvisarli, si ricordi di dire che la fonte originale delle segnalazioni è Zone-h.org. Io mi limito a riportarla.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le violazioni dei siti .it di oggi

Le violazioni dei siti .it di oggi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/09/14 10:45.

Vado subito al sodo:

Liceo Scientifico TRON: violato presso https://www.tron.gov.it/images/jdownloads/screenshots/1998.gif


Istituto comprensivo Manfredini: violato presso http://www.didipo.gov.it/images/jdownloads/screenshots/pz.gif

Istituto superiore Giorgi-Fermi: violato presso http://www.giorgifermi.gov.it/images/jdownloads/screenshots/muhmademad.jpg

Comune di Modena: violato presso http://mappe.comune.modena.it

Istituto comprensivo statale Giuseppe Melodia: violato presso http://www.melodianoto.gov.it/images/jdownloads/screenshots/albanian.gif

Liceo Canossa: violato presso http://www.liceocanossa.gov.it/images/jdownloads/screenshots/pz.gif

Istituto comprensivo Certosa di Pavia: violato presso http://www.scuolecertosa.gov.it/images/jdownloads/screenshots/pz.gif

Istituto d’istruzione superiore R. Piria Rosarno: violato presso http://www.istitutopiriarosarno.gov.it/images/jdownloads/screenshots/matrix.gif

Comune di Ciampino: violato presso http://www.comune.ciampino.roma.it/images/jdownloads/screenshots/matrix.gif

Ex provincia di Carbonia Iglesias: violato presso http://vetrinaoccupazione.provincia.carboniaiglesias.it/

In realtà “di oggi” è un po’ ingannevole: ne parlo oggi, ma in alcuni casi le violazioni sono in corso da tre o quattro giorni. Qualcuno li avvisa?

La fonte, come al solito, è Zone-H.org insieme alle segnalazioni dei lettori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.