Dall’attacco al sito di Matteo Renzi spunti per un uso sicuro dei CMS

Negli ultimi anni il confronto politico è sconfinato sul web, un numero crescente di esponenti politici, attivisti e semplici elettori anima un acceso dialogo in rete. La rete, ed in particolare i social media, rappresenta lo strumento per eccellenza per una comunicazione su larga scala, milioni di utenti sono raggiungibili istantaneamente con un tweet oppure con un post sui principali social network. Molti politici, e praticamente ogni partito, dispongono di un sito web utilizzato per propaganda, ma anche per proporre democraticamente referendum su scelte ed orientamenti dei principali collettivi.

In questo contesto è facile comprendere come tali siti siano divenuti veri e propri archivi digitali in cui memorizzare un’ampia gamma di informazioni sensibili, per questo motivo è auspicabile che venga opportunamente gestita la sicurezza delle infrastrutture informatiche utilizzate.

Il caso – Compromesso il sito di Matteo Renzi

In dicembre il sito del neo segretario del PD Matteo Renzi è stato attaccato e i molti dati archiviati sul suo server sono divenuti di pubblico dominio. Il sito di Matteo Renzi è stato attaccato a più riprese, è sto addirittura oscurato per circa 24 ore nei giorni precedenti all’attacco in cui sono stati violati e pubblicati i dati degli utenti registrati sul sito social.matteorenzi.it. L’attacco è stato reso noto, con un comunicato, dallo staff di Matteo Renzi che recita quanto segue:

«Essendo state pubblicate le password di accesso alla piattaforma social.matteorenzi.it, nel caso in cui utilizzaste la medesima password per altri servizi vi consigliamo di cambiarla per una maggiore sicurezza» «Nessun dato di accesso agli account Facebook e Twitter degli utenti è stato sottratto», «nessun dato relativo alle carte di credito dei donatori è stato violato, non essendo registrato in alcun modo all’interno del sito web».  

renzi

Suggerimento ineccepibile, ma cosa è stato trafugato dagli hackers?

Analizzando l’archivio, pubblicato da coloro che hanno bucato il sito di Renzi, ci si rende subito conto che la situazione è seria. Gli hackers hanno avuto accesso a dati personali e sensibili (Codice sulla protezione dei dati personali (D. Lgs. n. 196/2003, art. 4)) relativi all’elettorato del partito del PD, l’archivio infatti è una collezione di file in formato Excel che contengono le informazioni relative a membri e simpatizzanti, inclusi i tracciati delle donazioni ricevute.

Renzi2

Tali dati sono completi di identificativi, numeri di telefono e tutto quanto necessario ad un criminale informatico per organizzare una frode ai danni di queste persone, oppure per rivenderne le informazioni sul mercato nero.

E’ amaro constatare che sebbene siano trascorse settimane dall’attacco i dati menzionati siano ancora reperibili sulle medesime sorgenti aumentando i rischi di frodi ai danni di quegli utenti che per qualunque motivo non sono stati raggiunti dell’informativa emessa, dai referenti tecnici del sito compromesso, all’indomani dell’attacco.

Sicurezza dei CMS

Non volendo entrare nel merito dello specifico attacco è tuttavia doveroso riflettere sulla sicurezza delle innumerevoli piattaforme web utilizzate da partiti politici come da numerose aziende private. Le piattaforme sono nella maggior parte dei casi facili obiettivi per gli hackers, il più delle volte non è necessaria una conoscenza specifica per riuscire ad arrecare seri danni ad aziende ed istituzioni. La maggior parte dei siti web in circolazione è basata su Content Management System (CMS), ovvero piattaforme software deputate alla gestione dei contenuti di siti web.

Perché i CMS?

I CMS agevolano l’erogazione dei contenuti, non richiedono infatti ai gestori dei siti conoscenze tecniche specifiche di programmazione. Esistono Content Management System specializzati per tipologia di contenuti e CMS generici, notoriamente più flessibili atti alla pubblicazione di diversi tipi di contenuti.

In commercio sono reperibili CMS specializzati per la pubblicazione di blog come WordPress, per la gestione di un forum come vBulletin, oppure per la realizzazione di siti web come Joomla!.

Per attaccare una qualunque di queste piattaforme è necessaria un po’ di pazienza e la capacità di trarre profitto da quel potente strumento che è Google. Per prima cosa occorre comprendere quale sistema si intende attaccare, analizzare tecnicamente quale piattaforma ospita il nostro sito obiettivo.  La cosa è estremamente semplice, in rete esiste una moltitudine di siti che offre a gratis funzionalità per comprende quale CMS è utilizzato da un sito web, molti di essi forniscono a gratis o previo pagamento la possibilità di effettuare una scansione delle piattaforme in cerca di vulnerabilità note. Una volta individuato un sito vulnerabile è sufficiente cercare in rete il relativo exploit, che può essere una applicazione da eseguire piuttosto che una procedura da implementare, per comprometterne la sicurezza.

Ritornando al caso del sito di Matteo Renzi, ci si rende facilmente conto che lo stesso utilizza come CMS il popolare WordPress, e stando ai principali strumenti per la scansione reperibili in reta, la versione di CMS in uso non è aggiornata all’ultima. Il sito infatti parrebbe utilizzare la versione 3.6 in luogo dell’attuale 3.8. Questa considerazione è importante, i vari software evolvono nel tempo con successivi aggiornamenti che in  molti casi chiudono delle falle di sicurezza più o meno importanti. Un CMS non aggiornato potrebbe essere facilmente penetrabile se per la versione in uso sono note vulnerabilità, in tal caso è davvero un gioco da ragazzi reperire in Internet tutte le istruzioni per l’attacco.

La versione 3.6 di WordPress è nota per essere affetta da alcune vulnerabilità che possono consentire ad un attaccante di:

  • eseguire codice malevolo sulla piattaforma;
  • dirottare i visitatori del sito web che usa la versione obsoleta verso un sito web di terze parti che è utilizzato per la diffusione di malware;
  • elevare i privilegi di accesso alla piattaforma, facendo si ad esempio che un utente acquisisca i diritti di amministratore con ovvie conseguenze;

Un altro aspetto fondamentale da considerare quando si utilizza un CMS è la sicurezza dei plug-in installati. Ciascun plug-in è l’equivalente di una finestra all’interno di un edificio da proteggere, esso va debitamente analizzato per garantire la sicurezza della piattaforma. Ciascun plug-in evolve nel tempo con il CMS, per questo motivo va aggiornato secondo necessità, queste estensioni possono essere sfruttare per compromettere la sicurezza di un blog o di un forum.

L’azienda israeliana Checkmarx questa estate ha pubblicato un interessante studio sui principali plugin utilizzati dalla piattaforma WordPress (The Security State of WordPress’ Top 50 Plugins). I risultati emersi sono scioccanti e devono farci riflettere sull’impatto che hanno i plugin sulla sicurezza complessiva di un sito web.

Di seguito i dati salienti forniti ed una tabella che riassume le principali vulnerabilità emerse.

  • Il 20% dei 50 plugins più popolari di WordPress è vulnerabile a comuni attacchi web.
  • 7 su 10 dei principali plugin per il commercio elettronico sono risultati vulnearabili.
  • I plugin più vulnerabili sono risultati quelli relativi a piattaforme per il commercio elettronico, CMS per la costruzione di siti web, e plugin per la condivisione dei contenuti sui principali social network.

Le vulnerabilità riscontrate nei plugin sono solitamente “fixate” mesi dopo la loro scoperta, in questa finestra temporale gli hacker hanno vita facile e possono sfruttarle per compromettere interi siti.

renzi4

I dati emersi devono indurre i gestori dei siti web a considerare attentamente l’utilizzo dei plugin, queste utili e potenti appendici sono spesso “portatrici” di vulnerabilità, per cui occorre limitarne l’uso allo stretto necessario, facendo attenzione che esse siano sempre aggiornate all’ultima versione disponibile.

Attacchi su scala globale

Gli attacchi contro i principali Content Management System sono molto frequenti, negli ultimi mesi si è intensificato il numero di offensive contro le principali piattaforme web.

Le aziende sempre più di frequente utilizzano per il proprio business piattaforme come WordPress, vBulletin, Drupal e Joomla!, in molti casi esse si affidano a terze parti per la gestione delle architetture utilizzate per la pubblicazione dei contenuti online. I CMS sono in ogni dove, ma spesso l’aspetto sicurezza è completamente trascurato.

Il modus operandi degli hacker è profondamente cambiato, mentre in passato gruppi di criminali identificavano singoli obiettivi, essi oggi operano su larga scala disponendo di efficienti strumenti per l’automatizzazione degli attacchi. L’economia di un cyber attacco oggi è a totale vantaggio di coloro che attaccano, l’organizzazione di una offensiva è estremamente economica se comparata al costo che una azienda deve sostenere per proteggere le proprie strutture da offensive informatiche.

Di frequente sono stati osservati dalle principali aziende di sicurezza veri e propri attacchi su scala globale, in settembre 2013 per esempio migliaia di siti web basati su WordPress sono stati presi di mira da una rete di PC compromessi (botnet) che li hanno bersagliati con attacchi di tipo DDoS. In aprile 2013 circa 100000 server che utilizzavano WordPress sono stati compromessi per poter essere utilizzati in successivi attacchi da criminali informatici. Reti di machine compromesse sono solitamente utilizzate per condurre attacchi massivi ti tipo brute-force, ovvero migliaia di macchine coordinate per cercare le password di amministrazione provando tutte le possibili combinazioni a partire da dizionari definiti dagli attaccanti.

In Agosto, i ricercatori della Arbor Networks hanno scoperto una nuova botnet chiamata Fort Disco utilizzata per compromettere più di 6000 siti web basati su WordPress e Joomla!. In Ottobre 2013 l’azienda di sicurezza Imperva ha scoperto che circa 35000 siti web basati sul CMS vBulletin sono stati hackerati. Anche in questo caso gli hacker hanno sfruttato alcune vulnerabilità note per condurre un attacco su un numero considerevole di installazioni.  Grazie a tali falle un attaccante può creare un profilo con diritti di amministratore ed ottenere il completo controllo del sito.

In tutti i casi menzionati il numero di siti web compromessi è estremamente alto, attacchi su larga scala sono di solito attribuibili a gruppi di criminali che rivendono le informazioni acquisite su forum specializzati nell’underground. Va inoltre tenuto presente che l’incremento degli attacchi è anche imputabile alla semplicità con la quale si possono reperire in Internet tools e servizi che agevolano l’hacking di ogni piattaforma. Nell’immagine seguente ad esempio è proposta una schermata di un sito che offriva un tool automatico per hackerare i sistemi basati sul CMS vBulletin precedentemente citato.

renzi5

Proprio mentre scrivo giunge la notizia di un attacco clamoroso al forum ufficiale della distribuzione Linux openSuse, il sito ed i dati sono stati compromessi. In questo caso un hacker Pakistano ha sfruttato la falla di cui scrivevo sopra nel CMS vBulletin, migliaia di siti sono esposti a rischio attacco, per questa ragione openSuse ha sospeso il suo forum a tempo indeterminato attendendo la risoluzione della falla dei produttori del CMS.

Security “awareness”

Il Canadian Cyber Incident Response Centre e lo statunitense US-CERT hanno da tempo intrapreso una campagna di sensibilizzazione circa la principali minacce informatiche che possono compromettere la sicurezza di un CMS non aggiornato oppure non configurato correttamente.

Un insieme di siti web compromessi potrebbe essere utilizzato da organizzazioni terroristiche o da criminali informatici per lanciare un attacco di distributed denial-of-service (DDoS) contro una infrastruttura critica. Un CMS vulnerabile potrebbe essere considerato per certi versi uno degli anelli deboli della catena della sicurezza su scala nazionale, un sito vulnerabile, o peggio compromesso rappresenta una seria minaccia per la collettività.

CMS security Best Practices

Per aumentare la sicurezza di un sito web basato un qualunque CMS è utile seguire alcuni semplici suggerimenti, primo fra tutti accertarsi di mantenere aggiornato il Content Management System applicando le necessarie “patches” e seguendo le istruzioni fornite dalle aziende che lo hanno progettato.

Utili indicazioni per incrementare la sicurezza dei siti web sono disponibili in rete, suggerisco la lettura del materiale redatto dall’ Open Web Application Security Project (OWASP) e del documento US-CERT’s Technical Information Paper TIP-12-298-01 sulla sicurezza dei siti web.

Di seguito un elenco dei suggerimenti da seguire:

  • Aggiornate il CMS regolarmente seguendo le indicazioni delle aziende produttrici. L’ente statunitense The National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) fornisce indicazioni utili sulle principali vulnerabilità e sulle procedure per rimediarvi.
  • Utilizzare le ultime versioni disponibili per il CMS.
  • Attenersi alle indicazioni di configurazione dei server suggerite dai fornitori dei CMS. Prestare particolare attenzione ad esempio alla configurazione del file .htaccess dei web server Apache (o di funzionalità equivalenti in Nginx or Microsoft IIS). Tipico utilizzo di tali file è l’applicazione di restrizioni di accesso per le cartelle presenti sul server che ospita il CMS.
  • Per quanto consentito dal CMS in uso, disabilitare la possibilità di creare automaticamente account e di pubblicare contenuti.
  • Limitare l’utilizzo di estensioni e plugin di terze parti, ricordarsi di aggiornare quelli installati.
  • Utilizzare policy per la gestione delle password.
  • Assicurarsi che ad ogni account e file siano associati i permessi adeguati. E’ buona norma cambiare la username per gli account di default.
  • Rivedere periodicamente gli account presenti nel CMS ed i diritti ad essi associati.
  • Cercare di limitare l’esposizione del numero di versione del CMS e dei software utilizzati cambiando i nomi dei relativi file. In questo modo è possibile evitare che sistemi per la scansione automatica possano individuare la versione dei software in uso e quindi utilizzare gli exploit disponibili.
  • Proteggere il sito utilizzando comunicazioni sicure attraverso l’implementazione di TLS/SSL. La cifratura è indispensabile in applicazioni come il commercio elettronico.
  • Disabilitare i servizi non utilizzati.
  • Utilizzare sistemi di difesa e soluzioni per il monitoraggio del CMS. E’ fondamentale controllare costantemente i log del CMS, in particolare login di account con diritti amministrativi.

A questo punto vi suggerisco vivamente di sospendere la lettura di questo mio post e mettere in atto questi semplici suggerimenti … eviterete molti problemi.

Facebook Comments

Previous articleIoE: Cisco Italia organizza a Milano l’ Internet of Everything Italian Forum
Next articleAmazon: il 2013 anno record per i venditori Marketplace
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here