{"id":214,"date":"2017-01-08T17:51:53","date_gmt":"2017-01-08T16:51:53","guid":{"rendered":"https:\/\/www.clodo.it\/blog\/?p=214"},"modified":"2024-04-09T16:00:27","modified_gmt":"2024-04-09T15:00:27","slug":"httpswww-beppegrillo-it-e-disclosure","status":"publish","type":"post","link":"https:\/\/www.clodo.it\/blog\/httpswww-beppegrillo-it-e-disclosure\/","title":{"rendered":"https:\/\/www.beppegrillo.it e disclosure"},"content":{"rendered":"<p>Recentemente ho notato che il certificato SSL di <a href='https:\/\/www.beppegrillo.it'>https:\/\/www.beppegrillo.it<\/a> \u00e8 scaduto. <\/p>\n<p>La cosa mi ha incuriosito perch\u00e8 quel sito web \u00e8 uno dei pi\u00f9 frequentati d&#8217;Italia, e mi \u00e8 parso strano che nessuno nell&#8217;arco di 5 giorni si sia indignato di dover inserire una password in una connessione in chiaro (<a href='http:\/\/www.beppegrillo.it\/login.php'>esempio<\/a>).<br \/>\nAnche perch\u00e8 la figura di m. \u00e8 imminente, le beta o candidate-release di browser moderni mostrano degli avvisi espliciti laddove \u00e8 richiesta una password in una connessione non cifrata. Vedi ad esempio <a href=\"https:\/\/blog.mozilla.org\/tanvi\/2016\/01\/28\/no-more-passwords-over-http-please\/\">https:\/\/blog.mozilla.org\/tanvi\/2016\/01\/28\/no-more-passwords-over-http-please\/<\/a><\/p>\n<p>Ieri sera l&#8217;ho fatto notare a Paolo Attivissimo via Twitter:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> Son gi\u00e0 5 giorni che il certificato SSL di <a href=\"https:\/\/t.co\/WdNBarkjim\">https:\/\/t.co\/WdNBarkjim<\/a> \u00e8 scaduto, ma pare l&#39;ho notato solo io&#8230; Mumble mumble.<\/p>\n<p>&mdash; Fabrizio Carimati (@Clodo76) <a href=\"https:\/\/twitter.com\/Clodo76\/status\/818205913450483714\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Poco dopo, Paolo ha twittato:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\">I grillini si vantano di essere quelli che capiscono Internet. Allora come mai il loro certificato SSL \u00e8 scaduto da giorni? (via <a href=\"https:\/\/twitter.com\/Clodo76\">@clodo76<\/a>) <a href=\"https:\/\/t.co\/pQ4Rw7omec\">pic.twitter.com\/pQ4Rw7omec<\/a><\/p>\n<p>&mdash; Paolo Attivissimo (@disinformatico) <a href=\"https:\/\/twitter.com\/disinformatico\/status\/818207729269559296\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Immediatamente ho precisato che un certificato SSL non scaduto per il dominio www.beppegrillo.it esiste, ma non \u00e8 configurato sulla macchina relativa:<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> Quello su <a href=\"https:\/\/t.co\/UUmrFMqyIb\">https:\/\/t.co\/UUmrFMqyIb<\/a> scade nel 2018 e copre tre domini tra cui  <a href=\"https:\/\/t.co\/S6SlyG1j4L\">https:\/\/t.co\/S6SlyG1j4L<\/a>. Mal configurazione?<\/p>\n<p>&mdash; Fabrizio Carimati (@Clodo76) <a href=\"https:\/\/twitter.com\/Clodo76\/status\/818208272826167297\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Claudio d&#8217;Angelis mi ha fatto notare che l&#8217;approccio non \u00e8 proprio professionale, dato che normalmente il protocollo non dovrebbe determinare il tipo di contenuti, mentre invece pare evidente che il blog sia necessariamente in chiaro, e la crittografia riservata ad altro (non so di pi\u00f9, mai frequentato il sito di Grillo).<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\">.<a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> probabilmente perche&#39; il sito e&#39; gestito dal &quot;nipote che smanetta&quot; di turno che non ha la minima idea di cosa stia facendo <a href=\"https:\/\/t.co\/eV1m4YYTdM\">pic.twitter.com\/eV1m4YYTdM<\/a><\/p>\n<p>&mdash; claudio d&#39;angelis (@daw985) <a href=\"https:\/\/twitter.com\/daw985\/status\/818212208945545218\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>A questo punto ho indagato (parolone&#8230;) altri 5 minuti (neanche), e ho notato che il webserver risponde fornendo informazioni sulla versione di Apache installata<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/daw985\">@daw985<\/a> <a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> Porta pure a un 404. Ahi, non \u00e8 vecchiotto Apache\/2.2.15? &#8230; <a href=\"https:\/\/t.co\/o59Rb8e9pI\">pic.twitter.com\/o59Rb8e9pI<\/a><\/p>\n<p>&mdash; Fabrizio Carimati (@Clodo76) <a href=\"https:\/\/twitter.com\/Clodo76\/status\/818217371689164802\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Non che questo sia grave di per s\u00e8, ma di solito i professionisti evitano di fornire questo genere di info per rendere almeno un pelo pi\u00f9 difficile la ricerca di vulnerabilit\u00e0.<\/p>\n<p>Un veloce controllo su SSL-Labs ha evidenziato vulnerabilit\u00e0 note (PODDLE), cipher weaks e altre varie.<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/daw985\">@daw985<\/a> <a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> Vabb\u00e8 ma \u00e8 un colabrodo &#8230; <a href=\"https:\/\/t.co\/c0vTycG7nj\">https:\/\/t.co\/c0vTycG7nj<\/a> \u00e8 come sparare sulla croce rossa.<\/p>\n<p>&mdash; Fabrizio Carimati (@Clodo76) <a href=\"https:\/\/twitter.com\/Clodo76\/status\/818220862583214080\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Cosa prevedibile con un Apache 2.2.15, che \u00e8 un po&#8217;<a href='https:\/\/www.cvedetails.com\/vulnerability-list\/vendor_id-45\/product_id-66\/version_id-93077\/Apache-Http-Server-2.2.15.html'>vecchiotto<\/a>. POODLE confermato anche dallo scan online di Comodo.<\/p>\n<blockquote class=\"twitter-tweet\" data-conversation=\"none\" data-lang=\"en\">\n<p lang=\"it\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/daw985\">@daw985<\/a> <a href=\"https:\/\/twitter.com\/disinformatico\">@disinformatico<\/a> <a href=\"https:\/\/t.co\/e3hZEQFIRD\">https:\/\/t.co\/e3hZEQFIRD<\/a> \u00e8 pure vulnerabile al POODLE Attack, roba del 2014&#8230;<\/p>\n<p>&mdash; Fabrizio Carimati (@Clodo76) <a href=\"https:\/\/twitter.com\/Clodo76\/status\/818221791919427586\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Pi\u00f9 di una persona su Twitter fa notare che il sito di gestione del Movimento \u00e8 su un&#8217;altra macchina, <a href='https:\/\/rousseau.movimento5stelle.it\/'>https:\/\/rousseau.movimento5stelle.it\/<\/a> , che a una prima occhiata pare ben configurata.<br \/>\nMa obiettivamente in questo settore non \u00e8 che se un qualcosa \u00e8 obsoleto lo si abbandona senza aggiornamenti, anche perch\u00e8 se quell&#8217;accesso presenta vulnerabilit\u00e0 da remote-code-execution, significa accesso all&#8217;intera macchina (ed eventualmente al database annesso).<\/p>\n<p>E qui arriviamo al motivo di questo riassunto.<br \/>\nMi preme precisare che ho usato il termine <b>colabrodo<\/b> perch\u00e8 \u00e8 evidente la situazione, ma NON ho MAI detto che \u00e8 una situazione grave.<br \/>\nMi ritengo un professionista nel mio settore (sicurezza IT), ma qui sono sempre rimasto a livelli di chiacchere da bar.<br \/>\nStabilire la gravit\u00e0 di noncuranze richiederebbe un&#8217;analisi pi\u00f9 accurata, dei penetration-testing, notifiche private, disclosure concordate etc.<br \/>\nPotrebbe anche essere che la macchina in questione \u00e8 solo un vuoto reverse proxy o un load-balancer a una macchina di backend meglio configurata, per dire.<\/p>\n<p>Estote parati! (<a href='https:\/\/twitter.com\/lastknight'>@lastknight<\/a> docet)<\/p>\n<p>(Editato in seguito per correggere il mio italiano..)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Recentemente ho notato che il certificato SSL di https:\/\/www.beppegrillo.it \u00e8 scaduto. La cosa mi ha incuriosito perch\u00e8 quel sito web \u00e8 uno dei pi\u00f9 frequentati d&#8217;Italia, e mi \u00e8 parso strano che nessuno nell&#8217;arco di 5 giorni si sia indignato di dover inserire una password in una connessione in chiaro (esempio). Anche perch\u00e8 la figura &hellip; <a href=\"https:\/\/www.clodo.it\/blog\/httpswww-beppegrillo-it-e-disclosure\/\" class=\"more-link\">Continue reading <span class=\"screen-reader-text\">https:\/\/www.beppegrillo.it e disclosure<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,4],"tags":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false},"uagb_author_info":{"display_name":"Clodo","author_link":"https:\/\/www.clodo.it\/blog\/author\/clodo\/"},"uagb_comment_info":0,"uagb_excerpt":"Recentemente ho notato che il certificato SSL di https:\/\/www.beppegrillo.it \u00e8 scaduto. La cosa mi ha incuriosito perch\u00e8 quel sito web \u00e8 uno dei pi\u00f9 frequentati d&#8217;Italia, e mi \u00e8 parso strano che nessuno nell&#8217;arco di 5 giorni si sia indignato di dover inserire una password in una connessione in chiaro (esempio). Anche perch\u00e8 la figura&hellip;","_links":{"self":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/214"}],"collection":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/comments?post=214"}],"version-history":[{"count":1,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/214\/revisions"}],"predecessor-version":[{"id":215,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/214\/revisions\/215"}],"wp:attachment":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/media?parent=214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/categories?post=214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/tags?post=214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}