L’accanimento degli hacker per Rousseau, la piattaforma del Movimento 5 Stelle
La prima settimana di agosto non è stata facile per il Movimento 5 Stelle in quanto la piattaforma “Rousseau” ha subito ben 2 attacchi hacker in pochi giorni.
Il white hat sulla piattaforma Rousseau del MS5 ad opera di Evariste Gal0is
Il primo è stato perpetrato da Evariste Gal0is, un “white hat”, hacker buono, che aveva come obiettivo quello di avvisare gli iscritti del sito sul fatto che i dati sensibili potessero essere a rischio a causa di vulnerabilità nella piattaforma. Evariste Gal0is ha infatti scoperto 2 vulnerabilità: una variabile vulnerabile su SQL injection ed una vulnerabilità riguardante l’aspetto password.
La SQL injection nacque nel 1998 quando Jeff Forristal la documentò sul magazine web Phrack. Forristal scrisse che quest’attacco consisteva nell’introduzione di codice non previsto all’interno di una query SQL per far eseguire ad un sito dei comandi normalmente non eseguibili da un utente non autorizzato. SQL – acronimo di “Structured Query Language” – è un linguaggio di programmazione utilizzato per amministrare ed eseguire comandi nei database. Semplicemente SQL funziona in questo modo: se l’URL della notizia 1 è “id=1”, sicuramente la notizia numero 2 avrà “id=2”. Con un attacco SQL injection, l’hacker manipola l’id dell’URL con un parametro che forza il server a fare qualcosa che non dovrebbe, come fornire dati riservati contenuti nel database. L’attacco viene ripetuto più volte per prelevare il maggior numero di frammenti di dati dal database e per velocizzare l’operazione si utilizzano dei tool che automatizzano parte di questi processi, come “Havij” disponibile per Windows con un’interfaccia grafica ed utilizzato spesso dai principianti o “SQLmap”. SQLmap scandaglia i siti web come analogamente fa il Googlebot, alla ricerca di form di input, una volta trovati li rinvia con gli input che potrebbero generare un errore di sintassi SQL. La SQL injection è tra i metodi più semplici per attaccare, ma proprio per la sua semplicità è altrettanto facile da contrastare, come vedremo tra poco.
Tornando all’attacco alla piattaforma del Movimento 5 Stelle, l’hacker ha avuto accesso al sistema senza nessun permesso e ha potuto visualizzare ed eventualmente scaricare una serie di informazioni, contenute nel database, degli iscritti al sito. Queste informazioni erano dati sensibili degli utenti quali nome, cognome, e-mail, città di residenza, importo versato e metodo di pagamento usato.
Attaccata la piattaforma Rousseau del MS5 tramite le password
La seconda vulnerabilità riguardava l’aspetto password: esse non potevano superare gli 8 caratteri che sono esattamente quelli delle date di nascita nel formato giorno/mese/anno. Evariste Gal0is ha voluto provare a scovare tali password utilizzando una lista di numeri da 00000000 a 99999999 ed utilizzando il programma gratuito “John The Ripper”. In 21 ore, su un campione casuale di 2.517 account, è riuscito a craccare 136 password, con un esito positivo del 5,40% affermando che si tratta di: “Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online”.
Immediatamente Evariste Gal0is ha cercato di avvisare i responsabili del sito dei 5 Stelle. Dal breve scambio di e-mail che ha avuto con lo staff, ha saputo che questi immediatamente si è prodigato per risolvere la vulnerabilità. Approfittando di questo scambio di e-mail, Evariste Gal0is ha sottolineato che c’erano anche altre vulnerabilità nel sito. Dopodiché ha deciso di dar vita ad un sito #Hack5Stelle in cui esponeva quanto successo senza, però, rendere nota la variabile vulnerabile. L’intento del sito era semplicemente quello di avvisare “gli iscritti di una tale, potenziale, perdita di dati e informazioni riservate” precisando fin da subito che non si trattava di “un attacco politico”. Nel sito, inoltre, Evariste Gal0is ha suggerito agli utenti iscritti alla piattaforma Rousseau di cambiare la password del proprio account del sito web e di tutti gli account per non incorrere nel rischio di un furto di dati o nel rischio profiling, ossia nel vedere il proprio nome in una lista dei donatori del Movimento.
Dopo appena 2 giorni, la piattaforma Rousseau ha subito un altro attacco hacker, questa volta con scopi ben diversi e poco nobili da un “black hat”, un hacker cattivo, R0gue_0, il quale una volta estrapolati dati quali nome e cognome, codice fiscale, importo della donazione, li ha pubblicati su Twitter aggiungendo di possedere migliaia di pagine sottratte al sistema operativo e che è “troppo facile giocare con i vostri voti [del Movimento 5 Stelle]”. Verso fine settembre, poi, R0gue_0 è tornato all’attacco scrivendo sul suo account Twitter: “Tranquilli, Luigi Di Maio ha già vinto, ve lo assicurano decine di miei voti certificati” pubblicando screenshot di voti in cui ogni volta figurava come un utente diverso. Praticamente sembra che abbia votato per alcuni iscritti del sito sfruttando un’ulteriore vulnerabilità della piattaforma. A quanto pare il Movimento 5 Stelle ha notato questi attacchi, ma afferma di essere riuscito a respingerli e Beppe Grillo, sul suo blog, ha rassicurato gli utenti: “In seguito alle verifiche possiamo affermare che la votazione si è svolta in regolarità e nessun voto è stato manomesso”.
Questi attacchi, però, non fanno altro che evidenziare come in termini di sicurezza informatica la piattaforma Rousseau vada decisamente rivista in quanto i dati degli iscritti non sembrano essere realmente al sicuro, i black hat sono sempre in agguato per approfittare delle vulnerabilità ed inoltre contrastare un attacco SQL injection è semplice. Per esempio si possono utilizzare dei “prepared statement” che stabiliscono la semantica di una query così che i dati in entrata non sorprendano il database e il server o le librerie SQL Injection che permettono di modificare automaticamente le parti potenzialmente dannose degli input malevoli.
Dato che le soluzioni per prevenire questi tipi di attacchi esistono, viene da chiedersi perché non vengano utilizzate o implementate. La risposta è semplice: spesso chi lavora nell’ambito sicurezza, per assurdo, non ha molta esperienza nel campo e dovendo consegnare immediatamente il prodotto ordinato, trascura gli aspetti di sicurezza. Ci si augura che chi si occupa della sicurezza della piattaforma Rousseau, in questo caso, non sottovaluti nuovamente questo aspetto e magari segua l’ennesimo consiglio di Evariste Gal0is, quello di dar vita ad un programma di “bug bounty” che consistere nell’invitare chi nota una vulnerabilità a segnalarla in cambio di una qualche ricompensa. In questo modo l’hacker verrebbe ricompensato per la segnalazione, il sito potrebbe diventare immediatamente più sicuro e gli iscritti alla piattaforma potrebbero stare più tranquilli riguardo la sicurezza dei propri dati sensibili.
Redatto da Lucia D’Adamo, in collaborazione con Andrea Petriglia, supervisionato da Marco Pirrone