La sicurezza nei siti del Governo

Si suppone che i portali di grosso calibro come quelli del Governo, della Difesa o della Pubblica Amministrazione investino ingenti somme in soluzioni avanzate per la gestione dei contenuti e altrettanto in test di intrusione (penetration test). Al fine di garantire la sicurezza delle informazioni riservate e dei dati archiviati. Un incidente informatico potrebbe causare gravi disagi e danni economici.
 
La scorsa settimana ho esaminato alcuni di questi portali e, contrariamente a quanto supposto sopra, l'esito delle ricerche ha dimostrato che in molti casi la sicurezza non è così ferrea. Un sito in particolare, che per ovvi motivi non cito il nome, offriva indirettamente la possibiità di accedere al codice di alcune pagine riservate contenenti script che puntavano ad obiettivi sensibili facilmente aggirabili.

Ho segnalato la vulnerabilità all'Ente in causa, la risposta è arrivata entro poche ore, il problema era stato risolto e mi autorizzavano ad effettuare un controllo più ampio.

In realtà la vulnerabilità non era stata per niente risolta, avevano messo solo una pezza per tappare un buco. Ciò lo dimostra il semplice fatto dopo qualche ora di indagini mi ritrovo autenticato con alti privilegi alla piattaforma di controllo.

 

 

Ho comunicato la presenza delle nuove vulnerabilità e spiegato nei dettagli di cosa si trattasse e come rimediare. Adesso il problema sembra essere risolto.

 

Ho collaborato con piacere ma non è certo compito mio risolvere i loro problemi di sicurezza.

 

Un sito che contiene dati importanti ed ufficiali dovrebbe adottare le massime misure di sicurezza per evitare rischi di intrusioni informatiche.

 

Prendiamo in esame Governo.it (Palazzochigi.it) 

 

 

1) Cross Site Scripting

2) SQL Injection

3) Manipolazione Html

 

Una situazione sin troppo comune, ma per un portale come Governo.it non è tollerabile.

 

Vi siete chiesti perchè ultimamente molti siti di questo tipo sono stati defacciati? "Protesta contro chi sostiene la guerra"? Anche.. ma il motivo reale è perchè sono una facile preda. La causa? Superficialità!

 

 

Vulnerabilità 1 e 3 risolte da qualche ora.

 

 

Sul portale Governo.it è presente la Direttiva del Presidente del Consiglio dei Ministri 30 maggio 2002

 

Al fine di proteggere e tutelare efficacemente le informazioni e i servizi in linea dei siti è necessario applicare ad essi adeguate misure di tutela della privacy e di sicurezza....

 

da che pulpito viene la predica. 

Lascia il tuo commento