{"id":234,"date":"2017-08-15T23:50:19","date_gmt":"2017-08-15T22:50:19","guid":{"rendered":"https:\/\/www.clodo.it\/blog\/?p=234"},"modified":"2024-04-09T16:00:27","modified_gmt":"2024-04-09T15:00:27","slug":"hack5stelle-riassunto","status":"publish","type":"post","link":"https:\/\/www.clodo.it\/blog\/hack5stelle-riassunto\/","title":{"rendered":"#Hack5Stelle &#8211; Riassunto"},"content":{"rendered":"<p>Provo per diletto a riassumere la vicenda &#8220;Hacking beppegrillo.it\/Rousseau&#8221;, basandomi su quel che so dai blog e dalle persone che seguo su Twitter.<\/p>\n<ul>\n<li>Per scrivere una sequenza temporale degli eventi.<\/li>\n<li>Come riferimento di links per chi vuole approfondire.<\/li>\n<li>Magari per spiegare a chi non \u00e8 competente in materia cosa \u00e8 successo, cercando di usare un linguaggio non tecnico ove possibile.<\/li>\n<\/ul>\n<p>Premessa: Non ho MAI tentato un hacking, n\u00e9 cercato vulnerabilit\u00e0 attivamente. Tutto quello che dichiaro l&#8217;ho semplicemente dedotto da informazioni pubbliche.<\/p>\n<h2>Gennaio 2017<\/h2>\n<p>Notai che il certificato SSL (l&#8217;accesso https:\/\/) di beppegrillo.it era scaduto da 5 giorni.<br \/>\nNessuno si era accorto, quindi nessuno lo usava.<br \/>\nAccedere ad un sito web senza crittografia significa essere esposti a un attacco chiamato MITM (Men-In-The-Middle, &#8216;Uomo nel mezzo&#8217;).<br \/>\nAd esempio se qualcuno, collegato ad un WiFi di un albergo, digita in un sito web senza https:\/\/ una login e password, chiunque ha accesso al router dell&#8217;albergo vede e pu\u00f2 alterare questi dati in chiaro.<\/p>\n<p>Se andate su <a href=\"http:\/\/www.beppegrillo.it\/login.php\">http:\/\/www.beppegrillo.it\/login.php<\/a> , noterete che ormai qualsiasi browser moderno segnala il problema.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/www.clodo.it\/host\/images\/ad9a3134feea3f743bbe85eb476b204b0a38cf8c.png\"><\/p>\n<p>Claudio d&#8217;Angelis not\u00f2 che in realt\u00e0 l&#8217;accesso https:\/\/ non funzionava proprio.<br \/>\nhttps:\/\/twitter.com\/daw985\/status\/818212208945545218<br \/>\nE&#8217; quindi certo che nessuno lo usava.<\/p>\n<p>Poi, per curiosit\u00e0, avevo usato un test online di controllo sicurezza e configurazione di siti protetti, <i>Qualys SSL Labs<\/i>.<br \/>\nSe volete provare, basta andare qui: <a href=\"https:\/\/www.ssllabs.com\/ssltest\/\">https:\/\/www.ssllabs.com\/ssltest\/<\/a> e inserire<\/p>\n<pre>https:\/\/www.beppegrillo.it<\/pre>\n<p>L&#8217;esito, a gennaio 2017, non solo mostrava una mal-configurazione di SSL (che di per s\u00e8 non era cos\u00ec grave, tanto non era usato), ma evidenziava che era vulnerabile a un attacco chiamato POODLE.<br \/>\nOk, impossibile da usare come vettore di attacco essendo SSL non usato. Ma evidenziava che, evidentemente, il server non era pi\u00f9 stato aggiornato perlomeno dal 2014.<\/p>\n<p>Paolo Attivissimo segnal\u00f2 allo staff di Grillo il problema che avevo sollevato:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">.<a href=\"https:\/\/twitter.com\/beppe_grillo?ref_src=twsrc%5Etfw\">@beppe_grillo<\/a> 1\/2 Mi segnalano vulnerabilit\u00e0 informatiche su Beppegrillo.it, potete verificare? <a href=\"https:\/\/t.co\/NW8RjP2W5z\">https:\/\/t.co\/NW8RjP2W5z<\/a><\/p>\n<p>&mdash; Paolo Attivissimo @ildisinformatico@mastodon.uno (@disinformatico) <a href=\"https:\/\/twitter.com\/disinformatico\/status\/818223161342906373?ref_src=twsrc%5Etfw\">January 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Inoltre, il webserver era un Apache 2.2.15, molto molto vecchio (2010). Brutto segno.<\/p>\n<h2>2 agosto 2017, 11:40 (OTTO mesi dopo).<\/h2>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">Il sito Rousseau del M5S \u00e8 vulnerabile, voti e dati personali degli iscritti sono tutti a rischio <a href=\"https:\/\/twitter.com\/hashtag\/Hack5Stelle?src=hash&amp;ref_src=twsrc%5Etfw\">#Hack5Stelle<\/a><a href=\"https:\/\/t.co\/7KPcFsXFhe\">https:\/\/t.co\/7KPcFsXFhe<\/a><\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/892681511794864128?ref_src=twsrc%5Etfw\">August 2, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><a href=\"https:\/\/twitter.com\/evaristegal0is\">Evariste Gal0is<\/a> apre un sito web, chiamato <a href=\"http:\/\/hack5stelle.byethost17.com\/\">hack5stelle<\/a>, in cui evidenzia come imporre un limite MASSIMO di 8 caratteri per una password sia RIDICOLO. Ed evidenzia una serie di vulnerabilit\u00e0 di tipo SQL injection. Sono un tipo di vulnerabilit\u00e0 che permettono di leggere arbitrariamente i dati dal database, anche quelli riservati. Altamente probabile che siano anche alterabili.<br \/>\nNon divulga alcun dettaglio su come sfruttare tali vulnerabilit\u00e0, e dice che ha informato i responsabili del sito web.<\/p>\n<p>E&#8217; in gergo un WhiteHat, un ricercatore che cerca vulnerabilit\u00e0 nei siti web al solo scopo di aiutare.<br \/>\nHa al suo attivo centinaia di segnalazioni utili, come si evince dal suo profilo su <a href=\"https:\/\/www.openbugbounty.org\/researchers\/evaristegal0is\/\">OpenBugBounty<\/a>.<br \/>\n<i>Perch\u00e8 lo fa?<\/i>   Per passione. Per aiutare i webmaster. Per difendere gli utenti. Per imparare. Per farsi conoscere, perch\u00e8 magari un domani possa diventare un lavoro a tempo pieno.<br \/>\n<i>Lo fa gratis o qualcuno lo paga?<\/i>   Gratis. Non diverso dagli sviluppatori di software open-source che usate tutti quanti. Ricordatelo, grazie.<\/p>\n<p>Gi\u00e0 inizia a pentirsene poco dopo, ore 23:51<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">Scusate ho ricevuto troppa visibilit\u00e0, che non riesco a gestire e in gran parte non mi interessa. Volevo solo avvisare di una potenziale&#8211;&gt;<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/892865562824634372?ref_src=twsrc%5Etfw\">August 2, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">&#8211;&gt; perdita dati da un sito ormai molto importante. A breve eliminer\u00f2 l&#39;account. Ho lasciato il sito con la sezione FAQ.<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/892865776058867713?ref_src=twsrc%5Etfw\">August 2, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>3 agosto 2017, 18:44<\/h2>\n<p>L&#8217;Associazione Rousseau pubblica sul blog di Beppe Grillo un post intitolato <a href=\"http:\/\/www.beppegrillo.it\/2017\/08\/la_sicurezza_di_rousseau.html\">La sicurezza di Rousseau<\/a>.<\/p>\n<p>Di notevolmente ridicolo scrivono<\/p>\n<blockquote><p>Sono gi\u00e0 state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.<\/p><\/blockquote>\n<p>(verranno smentiti successivamente)<br \/>\ne<\/p>\n<blockquote><p>In ogni caso il suo sito \u00e8 gi\u00e0 scomparso cos\u00ec come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state cos\u00ec tempestive.<\/p><\/blockquote>\n<p>(verranno smentiti successivamente)<br \/>\nma soprattutto attaccano\/minacciano Evariste Gal0is:<\/p>\n<blockquote><p>Valuteremo l&#8217;azione legale da intraprendere nei confronti dell&#8217;hacker, il cui attacco \u00e8 assolutamente da condannare, anzich\u00e9 osannare come fanno i giornali.<\/p><\/blockquote>\n<p>Minacciare un WhiteHat \u00e8 assurdo, stupido, gravissimo.<br \/>\nOltre che ridicolo&#8230;<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">In altre parole state dicendo che avete denunciato uno che ha fatto full disclosure? Il partito della rete&#8230; seh, come no. <a href=\"https:\/\/t.co\/hTwsjxmjCE\">https:\/\/t.co\/hTwsjxmjCE<\/a><\/p>\n<p>&mdash; Stefano Zanero (@raistolo) <a href=\"https:\/\/twitter.com\/raistolo\/status\/893440052533055488?ref_src=twsrc%5Etfw\">August 4, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nhttps:\/\/twitter.com\/evilsocket\/status\/893827654562050049<\/p>\n<p>Personalmente non mi pare coerente minacciare un WhiteHat e contemporaneamente <a href=\"http:\/\/www.beppegrillo.it\/2013\/11\/il_m5s_incontra_julian_assange.html\">sostenere<\/a> progetti come WikiLeaks (cosa pensano che facciano?) o persone come Julian Assange.<br \/>\nFantastico l&#8217;hashtag #solowikileaksvabene di David Puente.<\/p>\n<h2>3 agosto 2017, ore 22:40<\/h2>\n<p>Su Twitter l&#8217;utente <a href=\"https:\/\/twitter.com\/r0gue_0\">@r0gue_0<\/a> dichiara di aver l&#8217;accesso al server o ai servers da mesi, e inizia a pubblicare dati come dimostrazione.<br \/>\nE&#8217; un BlackHat, &#8220;cappello nero&#8221;, diciamo &#8216;un hacker cattivo&#8217;. Ma &#8216;hacker&#8217; \u00e8 un parolone per questo tizio.<br \/>\nAfferma e dimostra di poter scrivere nel database, oltre a leggerlo.<br \/>\nInsulta il whitehat Evariste Gal0is, colpevole a suo dire di aver attirato l&#8217;attenzione sulla disastrosa situazione intaccando i suoi interessi.<br \/>\nPersonalmente, penso che r0gue_0 fosse in attesa di un momento politico pi\u00f9 favorevole per sfruttare il suo accesso.<br \/>\nIn una <a href=\"https:\/\/www.wired.it\/attualita\/politica\/2017\/08\/10\/intervista-rogue0-attacco-rosseau\/\">successiva intervista a Wired<\/a> rilascer\u00e0 dichiarazioni importanti come<\/p>\n<blockquote><p>\n\u201cIo li dentro ci stavo gi\u00e0, e da molto tempo. Ho dato due esempi di tabelle molto diverse solo per fare capire il lasso di tempo, come che gli host violati erano diversi. Se non era per il vostro amico wannabe, che ha voluto mettere il cappello bianco e provare a diventare famoso, non si veniva a conoscenza nemmeno della mia esistenza. Non avreste mai visto nulla, e io sarei rimasto l\u00ec indisturbato a continuare gli affari miei. Per tutto questo casino potete dunque ringraziare lui\u201d.<\/p><\/blockquote>\n<p>Non mi soffermo sulla tipologia di dati divulgati, sui singoli tweet o quant&#8217;altro di questo stronzo (scusate il francesismo).<\/p>\n<p>r0gue_0 ha anche messo in vendita tutti i dati trafugati, per poco meno di 1000$. Non si sa chi o quante persone han acquistato questi dati.<\/p>\n<p>Confido che prima o poi ci sar\u00e0 la <i>ciliegina sulla torta<\/i>: qualcuno li pubblicher\u00e0 su WikiLeaks, che il M5S tanto apprezza.<\/p>\n<p>Rimando agli articoli di David Puente per altri dettagli sulle gesta di r0gue_0:<\/p>\n<p><a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/04\/violato-rousseau-hacker-r0gue0-pubblica-su-twitter-dati-prelevati-dalla-piattaforma-del-m5s\/\">Violato Rousseau! Hacker R0gue0 pubblica su Twitter dati prelevati dalla piattaforma del M5S<\/a><\/p>\n<p><a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/05\/le-nuove-informazioni-di-r0gue_0-prelevate-dalla-piattaforma-rousseau-le-email-della-call-action\/\">Le nuove informazioni di R0gue_0 prelevate dalla piattaforma Rousseau: le email della \u201ccall to action\u201d<\/a><\/p>\n<p><a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/05\/r0gue_0-il-database-di-rousseau-matteo-renzi-ha-donato-1-milione-di-euro-al-m5s\/\">R0gue_0 e il database di Rousseau: Matteo Renzi ha donato 1 milione di euro al M5S? Ma anche no!<\/a><\/p>\n<p><a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/06\/solo-rousseau-r0gue_0-ha-bucato-anche-beppegrillo-it\/\">Non solo Rousseau, R0gue_0 ha bucato anche BeppeGrillo.it e Il Blog delle Stelle<\/a><\/p>\n<h2>5 agosto<\/h2>\n<p>Evariste Gal0is torna online. Si era preso una pausa perch\u00e8 non ha gradito la popolarit\u00e0.<\/p>\n<p>Smentisce il post dell&#8217;Associazione Rousseau relativamente alle contromisure:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">Il sito <a href=\"https:\/\/t.co\/7KPcFsXFhe\">https:\/\/t.co\/7KPcFsXFhe<\/a> \u00e8 andato offline per le troppe visite. L&#39;ho modificato lasciando FAQ e Conclusione, spero aiuti<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893828888811495425?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nCondanna il gesto di r0gue_0:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">Sono dispiaciuto e condanno il gesto dell&#39;altro idiota che ha diffuso dati personali. Non capisco il fine, e probabilmente non lo condivido.<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893829574357897216?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nAvverte che i problemi persistono:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">Forse, non entro in questi meriti, avrei optato per una comunicazione differente, solo questo. Il sito ha ancora molti errori.<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893829262351978496?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nE, nonostante le minaccie ricevute, continua il suo operato da whitehat:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">concordo con il tuo cinismo, dopo l&#39;articolo che hanno scritto sul blog non volevo pi\u00f9 inviargli nulla. Per\u00f2 poi non ho pensato fosse &#8211;&gt;<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893830376682074113?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">&#8211;&gt; corretto verso gli utenti, e ho deciso di segnalare comunque. Il problema rimane, io ho messo una minipezza.<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893830594555252737?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nA me ha risposto:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">spero vivamente che non procedano per vie legali \ud83d\ude42 insomma gli sto ancora segnalando le variabili vuln, sarebbe sciocco<\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/893838249822736384?ref_src=twsrc%5Etfw\">August 5, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Da ammirare.<\/p>\n<h2>6 agosto 2017<\/h2>\n<p>Di Maio <a href=\"http:\/\/www.clodo.it\/host\/images\/9f6637dd4c3f5ceec88480f58d84cee46a670a27.jpg\">dichiara<\/a>:<\/p>\n<blockquote><p>Il problema non siamo noi ma la sicurezza informatica di questo Paese<\/p><\/blockquote>\n<p>.<\/p>\n<p>Gloriosa supercazzola.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">According to M5S MP Luigi Di Maio, the issue is not their own platform being vulnerable to SQL injection, but &quot;the country&#39;s cybersecurity&quot;. <a href=\"https:\/\/t.co\/YXThJpn6g8\">https:\/\/t.co\/YXThJpn6g8<\/a><\/p>\n<p>&mdash; Stefano Zanero (@raistolo) <a href=\"https:\/\/twitter.com\/raistolo\/status\/894290519991484417?ref_src=twsrc%5Etfw\">August 6, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\nhttps:\/\/twitter.com\/evilsocket\/status\/894309046144126976<\/p>\n<h2>7 agosto 2017<\/h2>\n<p>Matteo Flora riassume la vicenda con un video su YouTube:<br \/>\n<a href=\"https:\/\/www.youtube.com\/watch?v=qLi9gkYZMEw\">Attacco a #Rousseau del Movimento 5 Stelle: tutto quello che dovete sapere<\/a><br \/>\n<iframe loading=\"lazy\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/qLi9gkYZMEw\" frameborder=\"0\" allowfullscreen=\"\"><\/iframe><\/p>\n<h2>8 agosto 2017, ore 12:14<\/h2>\n<p>Evariste Gal0is ed Antonio Sanso pubblicano una nuova analisi: <a href=\"http:\/\/hack5stelle.byethost17.com\/analisiI.html?i=1\">#Hack5Stelle &#8211; Parte 1: dump e le password.<\/a><\/p>\n<p>Scoprono che il software installato \u00e8 una versione obsoleta di Movable Type, la versione 4.2.<\/p>\n<p>Esistono dei database contenenti l&#8217;elenco delle vulnerabilit\u00e0 dei software, ad esempio i <a href=\"https:\/\/www.cvedetails.com\/vulnerability-list\/vendor_id-8953\/product_id-15809\/Sixapart-Movable-Type.html\">CVE<\/a>.<br \/>\nNormalmente, quando una vulnerabilit\u00e0 nuova viene scoperta, viene segnalata all&#8217;autore del software, che pu\u00f2 correggerla. Passato tot tempo (generalmente qualche mese), viene resa pubblica (disclosure), a volte anche con istruzioni dettagliate su come sfruttarla.<br \/>\nLa disclosure della versione di un software in uso, soprattutto se obsoleto, equivale a un <i>il mio punto debole \u00e8 qui, se mi colpisci -per di pi\u00f9 cos\u00ec- mi fai male<\/i>.<\/p>\n<p>Scoprono inoltre che le password, laddove non conservate in chiaro, sono facilmente decifrabili a causa di un algoritmo che risale alla preistoria informatica: DES \/ Crypt.<\/p>\n<p>E&#8217; altamente probabile che l&#8217;Associazione Rousseau abbia installato Movable Type tanti anni fa,<br \/>\nl&#8217;hanno adattato alle loro esigenze ottenendo di fatto un fork, e ora non possono pi\u00f9 aggiornarlo senza rifare tutti gli adattamenti.<br \/>\nE&#8217; un tipico errore di webmaster incompetenti.<\/p>\n<h2>8 agosto 2017<\/h2>\n<p>Paolo Attivissimo accenna la vicenda: <a href=\"http:\/\/attivissimo.blogspot.it\/2017\/08\/due-parole-sule-vulnerabilita-di.html\">Due parole sulle vulnerabilit\u00e0 di Rousseau<\/a><\/p>\n<h2>8 agosto 2017<\/h2>\n<p>Evariste Gal0is rilascia un&#8217;intervista a David Puente: <a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/08\/intervista-evariste-gal0is-era-attacco-politico-che-sono-io-r0gue_0\/\">Intervista a Evariste Gal0is: non era un attacco politico e non sono R0gue_0. Segnalate falle anche nel nuovo Rousseau<\/a><\/p>\n<p>Scrive un ultimo articolo: <a href=\"http:\/\/hack5stelle.byethost17.com\/analisiII.html\">#Hack5Stelle &#8211; Parte 2: fix che non lo erano.<\/a>.<br \/>\nSi evince che il team tecnico dell&#8217;Associazione Rousseau non \u00e8 in grado di sistemare decentemente neanche i problemi segnalati.<br \/>\nNon sa come sistemarli, quindi hanno improvvisato cercando di tappare le falle senza alcun know-how sull&#8217;argomento. Fallendo, ovviamente.<br \/>\nNiente, pare che rivolgersi a un esperto non sia considerato una priorit\u00e0.<\/p>\n<p>Evariste Gal0is dichiara che non vuol pi\u00f9 occuparsi della vicenda:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"it\" dir=\"ltr\">2\/ Penso di aver fatto abbastanza, in maniera corretta. E ora cercher\u00f2 di tornare a dedicarmi alle mie segnalazioni su <a href=\"https:\/\/twitter.com\/openbugbounty?ref_src=twsrc%5Etfw\">@openbugbounty<\/a><\/p>\n<p>&mdash; @evaristegal0is@mastodon.social (@evaristegal0is) <a href=\"https:\/\/twitter.com\/evaristegal0is\/status\/894935970906288128?ref_src=twsrc%5Etfw\">August 8, 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n(e fa bene, imho).<\/p>\n<h2>11 agosto<\/h2>\n<p>Leggo dal blog di David Puente l&#8217;articolo <a href=\"https:\/\/www.davidpuente.it\/blog\/2017\/08\/11\/cosa-devono-risolvere-rimuovere-da-beppegrillo-it-la-loro-sicurezza\/\">Cosa devono risolvere e rimuovere da Beppegrillo.it per la loro sicurezza<\/a> che han lasciato un file chiamato <b>mt-check.cgi<\/b>.<\/p>\n<p>Funziona cos\u00ec: per poter installare il CMS (Content-Management-System), cio\u00e8 il software &#8216;motore&#8217; del sito web, han piazzato un file che serve SOLO a verificare se il server \u00e8 in grado di ospitare il software.<br \/>\nNon per niente la pagina finisce con <i>&#8220;You&#8217;re ready to go! &#8230; Continue with the installation instructions.&#8221;<\/i>.<br \/>\nQualunque webmaster sa che quel tipo di file DEVE essere cancellato dopo l&#8217;installazione.<br \/>\nPerch\u00e8 contiene dettagli su come il server \u00e8 configurato e le versioni dei software che ha, in tempo reale.<br \/>\nNon serve a nient&#8217;altro. Tempo richiesto per risolvere il problema: un secondo, cancellare quel file.<br \/>\nCome spiegato prima, sono i dettagli che servono per correlare ricerche nei database di vulnerabilit\u00e0 note (CVE in primis).<\/p>\n<p>Nello stesso post, David Puente fa anche notare che la password viene inviata in chiaro via mail in fase di richiesta recupero (molto male!) confermando ulteriormente che usano un software obsoleto.<\/p>\n<h2>15 agosto 2017, 09:50<\/h2>\n<p>L&#8217;Associazione Rousseau pubblica sul blog di Beppe Grillo un post intitolato <a href=\"http:\/\/www.ilblogdellestelle.it\/i_sicari_informatici_non_fermeranno_il_movimento_5_stelle.html\">I sicari informatici non fermeranno il MoVimento 5 Stelle<\/a>.<\/p>\n<p>Condannano l&#8217;operato di R0gue_0. D&#8217;accordo.<\/p>\n<p>Confermano che<\/p>\n<blockquote><p>Purtroppo non sono stati colti in flagrante<\/p><\/blockquote>\n<p>e che quindi R0gue_0 ha accesso al server da tempo indeterminato. Ricordo che aveva potere di scrittura nel db.<\/p>\n<p>Di notevolmente ridicolo:<\/p>\n<blockquote><p>I dati che sono stati divulgati dall&#8217;hacker si sono dimostrati comunque privi di fondamento<\/p><\/blockquote>\n<p>No. Erano dati personali veri e confermati.<\/p>\n<p>e ovviamente di nuovo un<\/p>\n<blockquote><p>In questo momento stiamo prendendo tutte le misure necessarie affinch\u00e9 non si ripetano situazioni del genere e siamo al lavoro anche in questo giorno di festa.<\/p><\/blockquote>\n<h2>Ora, 15 agosto 2017 ore 21:50, mentre scrivo questo post<\/h2>\n<p>Il server \u00e8 ancora vulnerabile al POODLE attack (2014) e monta ancora Apache\/2.2.15 (2010). <a href=\"http:\/\/archive.is\/sdqv4\">Snapshot su archive.is<\/a> <a href=\"https:\/\/www.ssllabs.com\/ssltest\/analyze.html?d=www.beppegrillo.it\">Test in realtime<\/a><\/p>\n<p>Il file <b>mt-check.cgi<\/b> c&#8217;\u00e8 ancora. <a href=\"http:\/\/archive.is\/fFIUE\">Snapshot su archive.is<\/a><\/p>\n<p>Personalmente, correlando versioni e report CVE, penso di aver identificato una vulnerabilit\u00e0 di tipo remote-code-execution.<br \/>\nSignifica che a mio avviso c&#8217;\u00e8 una vulnerabilit\u00e0 che permette a chiunque la sfrutti di leggere e scrivere qualsiasi dato sul server, lanciare qualsiasi comando, e di installare una back-door, ovvero un accesso secondario segreto che sar\u00e0 attivo anche se il server verr\u00e0 sistemato.<\/p>\n<p>Dovrei verificarla per poi segnalarla? L&#8217;Associazione Rousseau ha dichiarato che non gradisce.<\/p>\n<p>Inoltre, si risolve automaticamente sistemando un&#8217;altro problema gi\u00e0 citato in questo articolo, quindi gli basta <i>rivolgersi a qualcuno di competente<\/i> prima o poi.<\/p>\n<p>Tralascio volutamente ogni considerazione legale sull&#8217;operato dell&#8217;Associazione Rousseau, non ne capisco abbastanza da permettermi un&#8217;opinione.<br \/>\nHo letto che il Garante della Privacy ha aperto un&#8217;istruttoria.<\/p>\n<p>Spero di non aver dimenticato nessun fatto importante, in caso contrario segnalatemelo via Twitter, grazie.<\/p>\n<h2>Aggiornamento 16 agosto 2017<\/h2>\n<p>Han rimosso finalmente il file <b>mt-check.cgi<\/b>. Non han colto minimamente cosa avevano sbagliato, perch\u00e8 il problema persiste in altri files simili.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Provo per diletto a riassumere la vicenda &#8220;Hacking beppegrillo.it\/Rousseau&#8221;, basandomi su quel che so dai blog e dalle persone che seguo su Twitter. Per scrivere una sequenza temporale degli eventi. Come riferimento di links per chi vuole approfondire. Magari per spiegare a chi non \u00e8 competente in materia cosa \u00e8 successo, cercando di usare un &hellip; <a href=\"https:\/\/www.clodo.it\/blog\/hack5stelle-riassunto\/\" class=\"more-link\">Continue reading <span class=\"screen-reader-text\">#Hack5Stelle &#8211; Riassunto<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":464,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,11],"tags":[],"uagb_featured_image_src":{"full":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau.jpg",806,456,false],"thumbnail":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau-150x150.jpg",150,150,true],"medium":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau-300x170.jpg",300,170,true],"medium_large":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau-768x435.jpg",660,374,true],"large":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau.jpg",660,373,false],"1536x1536":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau.jpg",806,456,false],"2048x2048":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau.jpg",806,456,false],"post-thumbnail":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/08\/feature_rousseau.jpg",806,456,false]},"uagb_author_info":{"display_name":"Clodo","author_link":"https:\/\/www.clodo.it\/blog\/author\/clodo\/"},"uagb_comment_info":13,"uagb_excerpt":"Provo per diletto a riassumere la vicenda &#8220;Hacking beppegrillo.it\/Rousseau&#8221;, basandomi su quel che so dai blog e dalle persone che seguo su Twitter. Per scrivere una sequenza temporale degli eventi. Come riferimento di links per chi vuole approfondire. Magari per spiegare a chi non \u00e8 competente in materia cosa \u00e8 successo, cercando di usare un&hellip;","_links":{"self":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/234"}],"collection":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/comments?post=234"}],"version-history":[{"count":46,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/234\/revisions"}],"predecessor-version":[{"id":465,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/234\/revisions\/465"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/media\/464"}],"wp:attachment":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/media?parent=234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/categories?post=234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/tags?post=234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}