Capn3m0 WebSecurity

L’Alpha_Team ancora una volta torna a far parlare di sé per un nuovo attacco ad una banca: la Banca Sistema!

La protesta di internet negli ultimi giorni sta creando parecchi grattacapi ai sistemisti di Server “importanti”. La settimana scorsa l’Alpha_Team si era dichiarato al mondo rilasciando una lista di siti istituzionali di cui avevano violato i Database. Tra questi vari siti c’era “italia.gov.it” che dopo l’attenzione ricevuta da parte dell’Alpha_Team ieri è stata vittima di un secondo attacco di tipo DDOS questa volta firmato dal noto movimento di protesta on line Anonymous.

Come loro solito hanno pubblicato alcune delle informazioni sottratte dalle quali si riscontra che l’attacco anche in questo caso è stato di tipo Sql Injection. L’Alpha_Team non ha rilasciato informazioni in merito ma analizzando il dump a questo link si possono leggere l’information schema e alcuni records di varie tabelle del Database del sito della Banca.

Come potete vedere le Tabelle alle quali hanno avuto accesso sono tutte relative al sito e riguardano le varie aree dello stesso (le proposte on line, l’elenco delle news,etc) mentre altre sono invece a uso interno dei dipendenti/sistemisti come i dati di accesso delle caselle email o la lista degli utenti del sito, Administrator incluso.

Di queste notizie, come al solito, pochi parlano e le stesse vittime non comunicano nulla sull’attacco. Né sui loro siti né ai loro Clienti.

Se oltre questo fatto, già grave, si aggiunge che, come abbiamo visto nell’intervista all’Alpha_Team, le falle di sicurezza non vengono corrette di sicuro il quadro generale della sicurezza informatica in Italia non ne esce positivo. Almeno per quelle “grandi” società dove ci si aspetta che la sicurezza sia un punto di forza!

Anonymous colpisce ancora! Anonymous, la famosa rete di hackers che da tempo effettua azioni di hacking verso siti sensibili per rappresentare la voce del popolo, questo pomeriggio ha eseguito un attacco di tipo DDOS (Distributed Denial Of Service) che ha portato all’irraggiungibilità del dominio “italia.gov.it” per tutto il pomeriggio. Durante lo stesso attacco è stato preso di mira anche il sito dei neofascisti di “casapound.org” che allo stato attuale appare ancora offline (pagina di default di Apache).

Proprio qualche giorno fa avevamo intervistato l’Alpha_Team, una crew di giovani ragazzi italiani che sfruttando una vulnerabilità Sql Injection aveva avuto accesso ed eseguito un dump sempre del sito italia.gov.it. A questo articolo potete trovare maggiori informazioni e il dump in questione.

Anonymous con il comunicato pubblicato stamani reperibile qui accusa il neo Governo Italiano di aver fatto bei discorsi ma pochi fatti:

Il nuovo governo si è presentato con l’aspetto frigido di chi non avendo mai praticato la politica dovrebbe risultare esente dalle tentazioni che noi italiani ben conosciamo.

Sventolando parole a lungo agognate quali equità, giustizia sociale e rigore. Ebbene di queste non s’è ancora vista l’ombra, escluso il contegno con cui vi presentate ai media. Sappiate che siete sotto osservazione da più parti, e che non basteranno quattro buoni propositi.

[...]

Anonymous e tutti i cittadini liberi e consapevoli non resteranno a guardare.

Con questo comunicato e per tali motivazioni Anonymous informa che tornerà all’attacco e, dopo il DDOS odierno lancia l’operazione #Operation Italy o #OpItaly per il giorno 13 Febbraio 2012. L’obiettivo dell’attacco non è stato ancora deciso e verrà reso noto solo poco prima tramite gli hastag Twitter indicati in precedenza come accaduto oggi.

Aspettiamo il 13 Febbraio e vediamo cosa succede.

Keep in touch.

Lo staff di capn3m0.org ha avuto la possibilità di intervistare il pr0_alpha_team, crew emergente che si è fatta notare nei giorni passati per aver violato numerosi siti istituzionali: dai siti dei piccoli comuni al sito delle Banca delle Marche, lo Store del sito difesa.esercito.it e molti altri.

Come immagine ho scelto la locandina del famoso film Hackers del 1995 che vede come protagonisti una crew di giovani ragazzi che un po’ per divertimento un po’ per passione portarono a termine attacchi di grande portata scombussolando una città e finendo nel mirino dell’Fbi. Il film, come si sa, è finzione, ma è stato di ispirazione per molti ragazzini che come me sognavano di diventare hacker o qualcosa del genere.

Il motto del film era:

their only crime was curiosity

(il loro unico crimine era la curiosità)

Conoscendo un po’ meglio i ragazzi del pr0_alpha_team mi è tornato alla mente e vediamo perché.

D #1: – Come nasce il pr0_alpha_team? E’ stata più una cosa tra amici tipo “vediamo fin dove riusciamo ad arrivare” o strutturata e organizzata?

L’Alpha_Team nasce come un gruppo di ragazzi (amici virtuali) , che sfida le infrastrutture che al giorno d’oggi dovrebbero essere le più sicure, cercando di far notare ai cari Italiani quanto siano vulnerabili i loro sistemi e come dati privati possano finire nelle mani di gente qualunque.

D #2 - Il nome pr0_alpha_team da dove proviene? Siete una versione “alpha” quindi ancora non ufficiale? cosa dobbiamo aspettarci?

Allora il nome Alpha_Team deriva dalla poca fantasia che avevamo quando ci siamo registrati su Zone-H, cosa dovreste aspettarvi? beh spero per noi che potremmo ancora divertirci nel cercare vulnerabilità

D #3 -  Guardando il vostro profilo su Zone-H si ha notizia di voi a partire da Novembre. Siete una crew “emergente” o operate da tempo ma solo ora volete rendere note le vostre azioni?

In precedenza abbiamo operato come singoli , ma poi un giorno abbiamo deciso di unirci e diventare l’Alpha_Team e rendere note le nostre azioni.

D #4 – Il vostro background? Siete “ethical hacker” anche come lavoro?

Siamo tutti studenti delle superiori ma in futuro vorremo sicuramente lavorare in quel campo, non ci definiamo hacker, ma solo appassionati informatici.

D #5 – Indipendenti o parte di un progetto più grande?

Siamo un gruppetto indipendente.

D #6 – Perché siti istituzionali? Quale messaggio volete mandare?

Attacchiamo siti importanti sia per divertimento sia per far capire ai nostri cari webmaster come sia facile sfruttare le loro mancanze. Per esempio nell’attacco alla Banca delle Marche volevamo far capire ai webmaster come sia stato facile per noi reperire informazioni sensibili.

D #7 – Fino ad ora le vittime illustri sono state violate con attacchi Sql Injection. E’ la tecnica che preferite o è quella a cui, come si è visto, erano vulnerabili tutte le vittime?

Perché in quei siti abbiamo trovato quel tipo di vulnerabilità.

D #8 – Il silenzio della stampa. I giornali latitano sempre quando l’attacco non è firmato Anonymous che “fa audience”. Cosa ne pensate di questa dis-informazione?

Pensiamo che al giorno d’oggi non ci sia dis-informazione ma solo poca voglia di reperire informazioni da utenti che utilizzano internet. Tutti dovrebbero sapere che rischi corrono navigando su internet.

D #9 – Il termine hacker ancora oggi viene usato in maniera errata e non si fanno mai distinzioni tra ethical, white hat, black hat, etc.. Voi come vi definite?

Siamo solo ragazzi appassionati di informatica.

D #10 – Il sito di una Banca, il sito dello store della Difesa… le vostre azioni hanno messo ancora una volta in rilievo le carenze tecniche in merito alla sicurezza informatica. In Italia spendere soldi per prevenire appare ancora una “cattiva abitudine” (purtroppo). Le vostre vittime se informate della violazione come han reagito? Le falle poi vengono sistemate?

Reagirebbero malissimo. Come possiamo vedere nel sistema bancario delle Marche ci troviamo di fronte ad un C.M.S. a pagamento, e credo che non lo abbiano pagato poco. No, le falle ad oggi sono come prima.

Concludendo questa intervista ne emerge ancora una volta la scarsa attenzione dedicata alla sicurezza informatica, dei nostri dati e delle infrastrutture che il nostro Paese presta ai suoi servizi più importanti o critici. Questi ragazzi, come ho premesso citando il film “Hackers“, sono solo appassionati e curiosi. I mezzi e le competenze li hanno e stanno dimostrando come uniti si possono raggiungere obiettivi importanti come il sito di una Banca o dell’Esercito. Non sono legati a nessun gruppo “famoso” e pertanto del pr0_alpha_team sono in pochi a parlare ma, come loro stessi hanno affermato, vogliono rendere note le loro azioni.

Sul tema della disinformazione fanno un’osservazione corretta dicendo che ai giorni d’oggi con internet a disposizione di chiunque è difficile pensare che la gente sia male o per niente informata. Almeno i giornalisti pagati per “informare” potrebbero provare a fare quello sforzo in più che noi non sempre abbiamo tempo o modo di fare.

Riguardo infine l’attacco al sito della Banca delle Marche (bancadellemarche.it) ci fanno sapere che nonostante i soldi spesi per un CMS risultato vulnerabile (può capitare eh, nessuno mette in dubbio che ci possano essere bug) non è stata ancora sistemata la falla. Sono queste le notizie che tra le tutte dovrebbero far riflettere. Possibile che una Banca dopo aver riscontrato delle violazioni nei propri dati non ne faccia notizia e neanche rimedia in tempi brevi?

Errare è umano, ma perseverare è diabolico..

Una crew tutta italiana, pr0_alpha_team, nelle ultime ore ha iniziato a far parlare di se dopo aver violato i Database di molti siti istituzionali italiani. I più importanti sono:
- Italia.gov.it
- Bancamarche.it
- Ufficio Italiano Brevetti
- Università di Siena

Guardando l’archivio degli hack del pr0_alpha_team sul sito Zone-H si vede che da Novembre 2011 ad oggi hanno già operato numerosi attacchi verso siti di Comuni e similari.
Questo ultimo è degno di nota dato che, come indicato, si tratta di vittime illustri dalle quali sono state sottratte informazioni dai loro Database.

L’attacco è stato possibile grazie ad una vulnerabilità di tipo Sql Injection che ha permesso di ottenere pieno accesso ai database e di effettuarne un Dump degli stessi.

A dimostrazione di ciò i membri della crew hanno reso disponibili alcuni stralci dei Database violati:
- Dump Db Italia.gov.it
- Dump Db Bancamarche.it
- Dump Db Ufficio Italiano Brevetti
- Dump Db Università di Siena

Come fa giustamente notare Luca Mercatanti gli attacchi verso siti istituzionali o verso Banche mettono ancora una volta in evidenza l’incompetenza e la superficialità con cui viene gestita la sicurezza informatica nel nostro paese. Altra cosa allarmante è come non sia stata data alcuna notizia di questa azione. Probabilmente il sito di una banca violato non è cosa importante per i nostri giornalisti.

Leggendo la loro pagina Twitter si deduce che non si fermeranno quindi non resta che aspettare e vedere quali altri siti verrano colpiti.

Complimenti al pr0_alpha_team!

Anche quest’anno è partito il Facebook Hacker Cup 2012. Si tratta di un contest organizzato da Facebook  rivolto a tutti gli hacker del mondo che dovranno sfidarsi in 5 round per risolvere algoritmi.

I primi 3 round si terranno on line nelle seguenti date:

• 1° Round – dal 20 al 23 Gennaio – 72 ore a disposizione
• 2° Round – il 4 Febbraio – 3 ore a disposizione
• 3° Round – l’11 Febbraio – 3 ore a disposizione

I 25 più veloci ed efficienti che risolveranno almeno un problema per round si guadagneranno l’accesso alle finali che si terranno nell’Head Quarter di Facebook a Palo Alto (California).

I 25 finalisti saranno totalmente rimborsati da FaceBook con 100 Dollari mentre ai primi 3 finalisti andranno i seguenti premi:

1. Vincitore – 5000 dollari
2. Secondo classificato – 2000 dollari
3. Terzo classificato – 1000 dollari

Per maggiori informazioni fare riferimento a questo link.