Accesso crittografato in siti web di partiti politici

Visto l’interesse per l’argomento, riassumo lo stato dell’accesso protetto da crittografia di 5 siti web di partiti politici.
Di questi, solo il sito web del Partito Democratico ha un accesso crittografato in maniera sicura. Accettabile con riserva.
Il Movimento 5 Stelle ha un ottimo sistema, Rousseau, ma non tutto è in sicurezza. Fratelli d’Italia, Forza Italia e Lega Nord, totalmente assente.

Unico pensiero politico da parte mia (prendetelo in maniera costruttiva): mi aspettavo maggiore cura dal Movimento 5 Stelle considerando che la rete è il suo cavallo di battaglia.

Immaginate ad esempio che un utente visiti quei siti web da un accesso pubblico (wifi pubblico, albergo, aeroporto etc). Un attaccante potrebbe:

  • intercettare in chiaro le credenziali (tra cui in chiaro le passwords, spesso riutilizzate).
  • reindirizzare la richiesta (alterando il form html) verso siti web malevoli.
  • alterare la risposta di ritorno, inserendo un javascript che funziona da keylogger in modo da intercettare poi ogni possibile interazione anche futura.

Questi ESEMPI di potenziali attacchi valgono per tutti, PD compreso, dato che non ha attivato alcuna forzatura alla versione sicura nei form di credenziali.

La maggior parte di produttori di browser hanno piani a lungo termine per l’abolizione delle connessioni in chiaro (es. Firefox), e i primi passi imminenti sono l’implementazione di warning di sicurezza (es. FireFox, Chrome).

Chrome pubblico usato dalla gente comune è la versione 55. La versione che notificherà che i siti web sopra-citati sono insicuri sarà la 56. E’ davvero molto imminente, imho.


Movimento 5 Stelle / Beppe Grillo

Rousseau https://rousseau.movimento5stelle.it è ottimamente configurato.
Certificato hash algorithm sha256 ok, rating ssl-labs: A+ altissimo (il massimo, abbastanza raro),
ottimo l’uso di HSTS che garantisce a monte che il sito sia interamente sotto crittografia. Versione web-server nascosta.

Una pesante pecca: l’iscrizione punta ad un’altra macchina, malmessa a livello di configurazione:

  • Riporta un vecchio Apache/2.2.15, che ha parecchie vulnerabilità note.
    Può essere che alcune vulnerabilità siano chiuse (ad esempio come i package debian in repo stable su distro LTS), non ho investigato sulle singole vulnerabilità.
    Dei penetration-testing sono più impegnativi di questa mia ricerca da tempo libero.
  • Restituisce un certificato scaduto da diversi giorni.
  • common-name errato (www.beppegrillo.it), che porta a una pagina web inesistente (404).
  • hash algorithm sha1, male.
  • Vulnerabile a POODLE e weak cipher.
  • Scelta incredibile. Di solito è accettabile avere un sito in chiaro con la sezione di autenticazione (login/register) sotto crittografia. Ma avere Rousseau protetto e registrazione in chiaro è tutto il contrario.

L’iscrizione quindi è obbligatoriamente in chiaro, perchè usare un accesso scarso di rating ssl-labs: T equivale a non usarlo.

Vedo ottime premesse, a spanne basta che il team di Rousseau prenda in carico anche l’altra macchina malconfigurata.


Partito Democratico

Buono, non ottimo.

Accesso crittografato https://www.partitodemocratico.it/ è OK.

La pecca è che la versione in chiaro funziona, potrebbe redirigere direttamente alla versione crittografata, o meglio ancora implementare HSTS come Rousseau.
E’ una pecca importante perchè la versione di login funziona anche da accesso non crittografato.
Obiettivamente se un accesso è insicuro e la versione sicura esiste, non è possibile venire incontro alla vita agli utenti che non conoscono la differenza o manco sanno che possono scegliere?

Piccola pecca, https://partitodemocratico.it restituisce ERR_BAD_SSL_CLIENT_AUTH_CERT. Pare solo mal-configurato il terzo livello “www.”.

Certificato SSL, ok per sha256. ssl-labs: B migliorabile, degli accessi con cipher weak andrebbero chiusi. Rousseau è configurato meglio.

Pare usino Apache 2.2.22 su FreeBSD. Non conosco decentemente FreeBSD.

Curiosità: Dal sito web, cliccare Accedi porta a un url da 3228 caratteri/bytes. Tutti fondamentali eh. (ironico).


Fratelli d’Italia

In http://www.fratelli-italia.it praticamente l’accesso cifrato non esiste.

Tesseramento e login solo in chiaro.

La versione cifrata del tesseramento mostra un 503 Service Unavailable, con un certificato self-signed che non corrisponde neanche come common-name.

ssl-labs: F. Vulnerabile al POODLE attack, weak cipher, etc.

Se non altro, nascondono che software web-server usano.


Forza Italia

http://www.forzaitalia.it è solo in chiaro, l’accesso crittografato per il sito principale non risponde.

La login è in chiaro.
L’accesso crittografato per il login spara pagina non trovata (HTTP 404).
Certificato SSL self-signed, scaduto 3 anni fa. 1024 bits. In pratica come se non ci fosse.

ssl-labs: F Tutto weak. Due diverse vulnerabilità, POODLE e CVE-2016-2107.

Praticamente l’accesso crittografato non esiste.

Apache/2.2.25 Amazon.


Lega Nord

http://www.leganord.org/ tutto in chiaro. L’accesso crittografato non esiste.

Apache 2.4.10 su Fedora.

https://www.beppegrillo.it e disclosure

Recentemente ho notato che il certificato SSL di https://www.beppegrillo.it è scaduto.

La cosa mi ha incuriosito perchè quel sito web è uno dei più frequentati d’Italia, e mi è parso strano che nessuno nell’arco di 5 giorni si sia indignato di dover inserire una password in una connessione in chiaro (esempio).
Anche perchè la figura di m. è imminente, le beta o candidate-release di browser moderni mostrano degli avvisi espliciti laddove è richiesta una password in una connessione non cifrata. Vedi ad esempio https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/

Ieri sera l’ho fatto notare a Paolo Attivissimo via Twitter:

Poco dopo, Paolo ha twittato:

Immediatamente ho precisato che un certificato SSL non scaduto per il dominio www.beppegrillo.it esiste, ma non è configurato sulla macchina relativa:

Claudio d’Angelis mi ha fatto notare che l’approccio non è proprio professionale, dato che normalmente il protocollo non dovrebbe determinare il tipo di contenuti, mentre invece pare evidente che il blog sia necessariamente in chiaro, e la crittografia riservata ad altro (non so di più, mai frequentato il sito di Grillo).

A questo punto ho indagato (parolone…) altri 5 minuti (neanche), e ho notato che il webserver risponde fornendo informazioni sulla versione di Apache installata

Non che questo sia grave di per sè, ma di solito i professionisti evitano di fornire questo genere di info per rendere almeno un pelo più difficile la ricerca di vulnerabilità.

Un veloce controllo su SSL-Labs ha evidenziato vulnerabilità note (PODDLE), cipher weaks e altre varie.

Cosa prevedibile con un Apache 2.2.15, che è un po’vecchiotto. POODLE confermato anche dallo scan online di Comodo.

Più di una persona su Twitter fa notare che il sito di gestione del Movimento è su un’altra macchina, https://rousseau.movimento5stelle.it/ , che a una prima occhiata pare ben configurata.
Ma obiettivamente in questo settore non è che se un qualcosa è obsoleto lo si abbandona senza aggiornamenti, anche perchè se quell’accesso presenta vulnerabilità da remote-code-execution, significa accesso all’intera macchina (ed eventualmente al database annesso).

E qui arriviamo al motivo di questo riassunto.
Mi preme precisare che ho usato il termine colabrodo perchè è evidente la situazione, ma NON ho MAI detto che è una situazione grave.
Mi ritengo un professionista nel mio settore (sicurezza IT), ma qui sono sempre rimasto a livelli di chiacchere da bar.
Stabilire la gravità di noncuranze richiederebbe un’analisi più accurata, dei penetration-testing, notifiche private, disclosure concordate etc.
Potrebbe anche essere che la macchina in questione è solo un vuoto reverse proxy o un load-balancer a una macchina di backend meglio configurata, per dire.

Estote parati! (@lastknight docet)

(Editato in seguito per correggere il mio italiano..)

RGB Bulb Review

I’m testing different RGB bulb in my home automation environment, to research the best bulb in the market.
I will update this post with my other research and with people comments.

Short review, current winner: Aeon Labs Bulb.


Philips Hue

Website: http://www.meethue.com
Protocol : ZigBee

Pros:

-A lot of app for it

Cons:

– Only HSB colors, difficult to set a precise RGB color.
– Only 3 values for colors: Hue, Saturation and Brightness.
– Poor colors quality. Read the BravoRomeo review here.
I can’t understand the difference between yellow and green with my Philips Hue.
– Slower, slower reaction when changing colors. For example if i set a sequence of 9 colors (without fade), it took around 3 seconds to do all.

———————-

Aeon Labs Bulb Gen5

Website: http://aeotec.com/z-wave-led-lightbulb
Protocol: ZWave
ZWave SwitchColor CC version: 1

Pros:

– A lot of led
– 5 values for colors: RGB + Warm White + Cold White
– True, exact RGB colors
– Faster reaction to colors. For example if i set a sequence of 9 colors (without fade), it took around a fraction of second to do all.

Cons:

– It seems that don’t support fade between two arbitrary RGB color. It’s limited to simply preset of effects like rainbow.

———————-

Zipato RGBW bulb – rgbwe27zw.eu

Website: http://www.zipato.com/default.aspx?id=24&pid=81&page=1&grupe=
Protocol: ZWave
ZWave SwitchColor CC version: 1

Pros:

– 5 values for colors: RGB + Warm White + Cold White
– True, exact RGB colors
– Faster reaction to colors. For example if i set a sequence of 9 colors (without fade), it took around a fraction of second to do all.

Cons:

– Don’t support any kind of fade or effects. Confirmed by their support.

Hotmail and Gmail use blacklists of entire subnets for a single involved IP? Unbelievable

A mail to me from Leaseweb:

Dear sir, madam,

It appears you are hosting a TOR node on your LeaseWeb IP address [omissis].
This has resulted in the block of a (part) LeaseWeb IP subnet. (/24)
As the subnet is added on the SECTOOR blacklist (http://www.sectoor.de/tor.php) this is affecting customers in the same range as yourself.

The SECTOOR blacklist is e.g. implemented by Hotmail, Live and Gmail. This results in other customers not being able to longer use the mail services of these companies.

[omissis details]

Therefore, we kindly, yet urgently ask you to disable the connection to the mentioned ports within 24 hours. Failure to comply and respond (confirm) to this warning, will result in a block of your involved IP address(es).

Thank you for your co-operation and understanding.

Kind regards,

[omissis]
Team Manager Abuse Prevention
LeaseWeb Global Services B.V.

PGP Public Key


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
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=n1qy
-----END PGP PUBLIC KEY BLOCK-----