Dopo il recente attacco hacker al sito web di Equitalia mi sono posto una questione. Ma è veramente così difficile bucare un sito web della pubblica amministrazione italiana?
Come sempre la risposta veloce è … dipende. Diciamo che circa la metà dei siti web della pubblica amministrazione centrale sono ospitati su piattaforme molto sicure, con strettissimi controlli di sicurezza sia lato server, sia lato codice. Diciamo anche che i siti web contenenti dati sensibili sono supercertificati e superprotetti,forse addirittura monitorati costantemente. Quindi scordiamoci di poter cambiare la foto della carta d’identità craccando il sito web del nostro comune. Non siamo in America, o meglio, non siamo dentro una serie televisiva americana; i sistemi sono tutti a compartimenti stagni, non si parlano tra loro, la carta regna sovrana e l’agenda digitale del governo in realtà non esiste.
Detto questo esiste un nutrito numero di siti web della pubblica amministrazione centrale (prevalentemente a scopo informativo), che sono progettati con standard di sicurezza ridicoli, basati ad esempio sui notissimi CMS wordpress e joomla.
Tramite l’utilizzo di strumenti volti a testare la sicurezza dei nostri siti web, (alcuni a pagamento o altri gratuiti) è possibile mettere in luce le principali vulnerabilità dei nostri CMS, ottenendo analisi abbastanza dettagliate.
Facciamo un esempio. Il sito web dei servizi segreti italiani è sviluppato in wordpress, con un tema all’apparenza progettato ad-hoc (anche se ho il dubbio che sia un layout grafico da 15 dollari). Essendo un sito web progettato con il noto cms wordpress, come tanti di noi sanno, l’architettura (passatemi il termine) di base è quella di un “core” e di un set di “plugin”, conditi con codice “javascript” come se non ci fosse un domani.
E qui solitamente casca l’asino, o il nostro James Bond in questo caso. I plugin sono dei piccoli programmini che vengono installati all’interno del sito web principale (il “core”), in grado di aiutare lo sviluppatore nel risolvere alcune funzionalità richieste. Spesso sono progettati da sviluppatori indipendenti, stranieri, non certificati o comunque al di fuori del superblindato elenco fornitori del nostro governo.
Nel nostro caso, cioè nel sito web dei servizi segreti italiani, ho analizzato la presenza di almeno due plugin degni di nota. Vediamoli nel dettaglio.
Il primo è un pluginabbastanza famoso. Si chiama YET-ANOTHER-RELATED-POSTS. L’ho usato anche io in passato. Serve per proporre in modo semplice degli articoli correlati da far leggere al visitatore. Questo plugin è sviluppato da tale jeffparker (pseudonimo). In passato questo plugin è stato oggetto di problemi di sicurezza, ora risolti.
Il secondo plugin (qui è grave), un po’ meno famoso è JQUERY-LIGHTBOX-FOR-NATIVE-GALLERIES. Questo plugin è sviluppato da un tizio, Alex Mills, che ironia della sorte si fa chiamare Viper007Bond.
La cosa interessante è che sul suo sito dice apertamente che il progetto di sviluppo di questo plugin è interrotto, dimesso. Il plugin non è più aggiornato, ma sul sito dei nostri servizi segreti è ancora in utilizzo. Il problema di un plugin non aggiornato è la prima causa di violazione di un sito web wordpress. Lo sanno anche i sassi. Questo perché il “core” si aggiorna, mentre la porzione di codice del plugin resta indietro, resta obsoleta e vulnerabile. Ogni plugin ha i suoi “bug”, le sue “vulnerabilità”; solo un aggiornamento costante da parte dello sviluppatore ci mette al riparo. Il programmatore di questo plugin ha addirittura abbandonato il progetto da tempo!
Spingendoci un po’ più in profondità possiamo andare anche ad analizzare il codice javascript, (un tipo di codice) che invade le pagine del nostro sito web dei servizi segreti. Qui la cosa diventa molto interessante, ma per senso di patriottismo non ho intenzione di parlarne. Almeno per ora. (lo ammetto, è un po’ come lanciare la mano e nascondere il sasso)
Come avviene dunque per ogni progetto pubblico, l’intero iter dovrebbe sottostare alle logiche di certificazione dei fornitori. Qui siamo in alto mare. Stiamo parlando di porzioni di codice sviluppato da perfetti sconosciuti, anonimi, ragazzini, forse potenze straniere, magari la SPECTRE!. Ok forse sto esagerando, o forse no.
Ad ogni modo, non è così difficile violare un sito web della pubblica amministrazione italiana, quello dei servizi segreti è proprio facile facile.
Bastano 20 dollari, un software online che rileva la presenza di plugin obsoleti e vulnerabili, successivamente un software che sfrutta le vulnerabilità note rilevate in precedenza. Stiamo veramente parlando di attività basilari che migliaia di webdesigner fanno ogni giorno.
Badate bene che questi strumenti non sono roba da hacker. Sono servizi pubblici, perfettamente legali, alcuni a pagamento. Normalmente andrebbero utilizzati proprio per verificare la sicurezza dei propri siti, per poi metterli al riparo. Quindi il suggerimento che posso dare ai webmaster che gravitano intorno al governo, diciamo al Mr.Q di turno, è quello di non utilizzare fornitori sconosciuti per progettare parte del codice solo perché è più facile, veloce ed economico! … e se proprio lo volete fare, assicuratevi che almeno siano codici aggiornati ogni tanto. Altro che requisiti speciali per l’elenco fornitori, metà del codice del sito dei servizi segreti è scritto da perfetti sconosciuti.
