Privacy, chi la mette a rischio sono le Web Agency

Interessante articolo scritto da Claudio Benvenuti sul suo blog site Z3n.it

 

Tra i servizi che offro nella mia attività di consulente informatico, il più indispensabile, ma forse, purtroppo, il meno compreso, è l’analisi delle applicazioni web mirata ad un Penetration Test, ai fini di garantire un adeguato livello di sicurezza.

La cosa assurda è che da qualche anno a questa parte il tema della privacy su internet si è fatto molto caldo. Innumerevoli e quotidiane sono le polemiche riguardanti i colossi del web, Google, Facebook, Twitter, etc. accusati di sfruttare, rivendere o manipolare i dati dei propri utenti. Quanto è reale e concreto il problema? Quali dati hanno a disposizione e come possono sfruttarli? Di cosa dobbiamo avere paura?

La risposta sicuramente non è semplice, ma in linea di massima si può riassumere in una sola parola:Advertising, ovvero Pubblicità. Più informazioni riescono a raccogliere su di noi più riescono a somministrarci pubblicità mirata.

Detto tra noi, a me non dispiace poi più di tanto se Google mi presenta un banner pubblicitario per un’offerta di un tablet anzichè di un ferro da stiro…

Il vero problema

C’è però un pericolo più grosso e sottovalutato da cui dobbiamo guardarci le spalle: l’ingnoranza e l’inesperienza dei programmatori delle Web Agency in termini di sicurezza.

Troppe volte le applicazioni web, soprattutto quelle create AdHoc, sono vulnerabili ai più comuni e conosciuti tipi di attacco con la conseguenza che i dati degli utenti sono messi in serio pericolo. Quasi quotidianamente capita di dover usufruire  di  servizi o di acquistare prodotti direttamente su internet, e di dover quindi lasciare a questi siti di e-commerce i nostri dati personali, compresi email e password. Quanto sono al sicuro questi dati?

Nel mio lavoro di consulente informatico mi capita di effettuare Penetration Test, prevelentemente mirati alle Web Application. La maggior parte delle volte purtroppo però, tale analisi viene richiestadopo che il sito o l’applicazione è stata compromessa, e non prima, con la diretta conseguenza che i dati degli utenti registrati sono già stati violati.

Un esempio pratico

Recentemente sono stato contattato da un importante sito e-commerce di abbigliamento sportivo che una mattina si è trovato “fortunatamente” l’Home Page defacciata con la simpatica dicitura “Owned by sh0drunKen“. Dico “fortunatamente” perchè il carcker ha avuto almeno il buon senso di avvisare del suo passaggio. Non sempre si ha questa fortuna.
Come prima cosa, per avere una piccola “anamnesi”, ho fatto un po’ di indagini e i risultati sono stati:

  • portale attivo da quasi 10 anni
  • oltre 17000 visitatori unici al mese
  • varie campagne AdWords attive
  • piattaforma LAMP (Linux/Apache/MySql/Php)
  • CMS proprietario (no osCommerce, no Prestashop, no Magento, etc) sviluppato da una Web Agency milanese

Dal momento che il portale occupa una fetta molto importante del core-business dell’azienda, che pur avendo un negozio fisico, vende prevalentemente (circa il 75%) sul Web attraverso il sito, gli investimenti effettuati dai proprietari sono stati notevoli, sia in marketing, sia nello sviluppo di nuove funzionalità.

Cos’era successo? Come era stato possibile?
Da una rapida occhiata mi accorgo che il defacciamento era avventuto sfruttando una banale vulnerabilità di permanent XSS nel sistema di commenti. Il cracker aveva semplicemente iniettato uno script in un commento che, finito in HomePage aveva causato il defacing. Possibile che un’azienda il cui business proviene prevalentemente dalle vendite on-line sia stata così ingenua da non aver richiesto nessuna garanzia, in termini di sicurezza, alla Web Agency che ha sviluppato il portale?

Approfondisco… (reggetevi forte)

Oltre a varie e diffuse vulnerabilità XSS (commenti, ricerca, titoli, etc) il portale era affetto praticamente ovunque da vunerabilità di tipo Sql Injection. Un paio di comandi con sqlmap, qualche minuto di attesa e ho il dump completo del database sul mio PC.
Ma la perla deve ancora arrivare…

Analizzo le tabelle del DB in cerca della fatidica tabella User. La trovo. Oltre 7000 utenti registrati con indirizzi, telefoni, interessi, dati personali, ma soprattutto password in chiaro.

Passi l’XSS, passi l’Injection, ma le password salvate in chiaro … non si può. Non dico di usare per forza un SALT, ma almeno un’hash md5… è una questione di rispetto verso l’umanità!!!

Nel giro di un paio di ore ero entrato in possesso delle credenziali di accesso al portale di oltre 7000 utenti. 

Come è facile dedurre, e come ho potuto più volte sperimentare, oltre il 60% degli utenti utilizza la stessa password per la registrazione su praticamente tutti i siti internet, quindi ottenendo le credenziali di accesso al portale, ho spesso parallelamente ottenuto anche l’accesso alle relative caselle email, e nelle email si trova di tutto, da conversazioni private a numeri di carte di credito.

Altro che Facebook

Purtroppo di situazioni simili ne esistono un’infinità. Chi, come me, analizza il Web con occhio più critico, si imbatte continuamente in siti e portali sviluppati da Web Agency che non hanno idea di cosa sia la sicurezza informatica. Spesso sviluppano CMS vulnerabili che poi utilizzano sui siti di tutti i clienti. Basta guardare nel loro portfolio per accorgersi di quante situazioni critiche esistono e di quanti dati è possibile entrare in possesso con 10 minuti di “ethical hacking”.

Come se non bastasse vi è poi la completa insensibilità da parte per proprietari dei siti a questo tipo di problema. Del resto sono commercianti, non tecnici informatici, che hanno riposto la “fiducia” in una Web Agency… forse in quella che ha formulato il preventivo più basso

Il risultato è che esistono milioni di siti internet vulnerabili con i dati dei propri clienti completamente esposti.  

E non provate a contattare il titolare di un sito di e-commerce vulnerabile per avvisarlo del problema… vi risponderà che siete paranoici!

Fonte: Z3n.it