[Hackmeeting] Fwd: [assembleapermanente] Cosa succede al sit…

Supprimer ce message

Répondre à ce message
Auteur: dibek
Date:  
À: hackmeeting
Sujet: [Hackmeeting] Fwd: [assembleapermanente] Cosa succede al sito notav?
Inoltro questa mail dalla mailing list notav, perchè mi sembra
contenere degli spunti interessanti (in particolare mi sembra di
capire che centri sempre Aruba)
Sopratutto colpisce la "neutralità" di Google.

ciauz

dibek

---------- Forwarded message ----------
From: Lady Licaone de Mornais <licaone64@???>
Date: 08-Jan-2007 20:33
Subject: [assembleapermanente] Cosa succede al sito notav?
To: assembleapermanente@???



E' lungo da spiegare, occorre fare una piccola
cronistoria:
il 4 dicembre mi è arrivata per posta la segnalazione
di un utente il quale diceva che, quando apriva il
sito notav, il suo norton antivirus segnalava il
tentativo di scaricare un software. Il mio antivirus
(mcafee enterprise + antyspyware) aggiornatissimo non
segnalava niente di strano ed allora non ho dato peso
alla questione, fino alla seconda segnalazione. Alla
terza (il 5) mi sono attivata con chi ospita il sito
notav.it sui suoi server. La risposta è stata:
Le confermo che lato server non si riscontrano
problemi, ho effettuato accesso al sito e relativa
navigazione in modo corretto, non riscontrando
richieste di scaricamento dialer o presenza di pop-up.
Tale problematica non è ralativa al server (il quale
viene costantemente aggiornato in tal senso), ma è
relativa al Pc in locale che ne riscontra il problema.
Siccome sono tignosa, insisto ma la risposta è sempre
la stessa.
Alla terza risposta uguale, mi arrendo; la sicurezza è
uno dei problemi che porta via più tempo ed io sono
cosciente che sul sito non c'è l'ultima versione
sicura disponibile, dunque, penso, nonostante gli
accorgimenti presi (quelli così attenti che a tanti
utenti han causato il fastidioso problema di trovarsi
di fronte ad una pagina nera che gli impedisce
l'accesso alle pagine e che li costringe a scrivermi
per essere "liberati") forse qualche cracker ha
trovato un nuovo sistema per "entrare". E di lì è
partita la ricerca, ho interpellato quelli che ritengo
i massimi esperti (italiani, come lo è phpnuke, e
parlare nella propria lingua è un gran vantaggio) del
sistema che regge il nostro sito, non han saputo darmi
una spiegazione. Inspiegabile era come fosse possibile
che pur non essendoci modo di inserire file sul nostro
sito (capito ora perchè le foto ed i pdf andavano
inviati a me per la pubblicazione? per essere sicuri
che nessuno riuscisse, magari proprio caricando
un'immagine contenente anche "altro", ad aprirsi una
porta di accesso dalla quale entrare per fare danni),
alcuni file risultassero modificati ed altri
aggiunti.
In più sembrava che questo "virus" avesse "due gambe"
e che i suoi attacchi fossero ben mirati: scoprivo e
risistemavo una sua variazione? ne inseriva una di
un'altro tipo. Mi connettevo per sistemare? Subito
dopo tornava a modificare i file.
La spiegazione, dopo giorni di ricerca sembrava essere
una sola: entrano direttamente sul server.
Il 13 dicembre mi decido a richiedere i log di accesso
al server ed il risultato è stato proprio questo, il 2
gennaio (con il nostro gestore occorre sempre inviare
un paio di volte i documenti, la prima volta non li
ricevono e sta a te sollecitare...) abbiamo ricevuto i
log dai quali risultava che qualcuno bellamente
entrava con le password (come le ha avute? non saprei
dirlo, forse con un sistema "brute force" che si mette
in atto con programmi che tentano tutte le password
possibili? oppure ha avuto accesso alle caselle di
posta dove le password erano memorizzate? e chi può
dirlo...) modificava quel che gli pareva e voilà.
Nell'attesa dei log che non arrivavano (e ancora nel
dubbio che ci fosse qualche "buco") ho comunque deciso
di cancellare tutto quel che c'era sul server per
rimettere ex novo la versione più aggiornata, ritenuta
sicura, (ne esistono di successive ma pare che non
siano riuscite bene come quella utilizzata ora).
La faccenda non è finita lì, prima di natale (il 21)
abbiamo subìto l'ultima modifica di file (fino al 19
succedeva dalle 2 alle 4 volte al giorno) il 22 ho
caricato la nuova versione, qualche giorno di
sollievo... ma niente, altre modifiche anche se
sporadiche (una il 28 dicembre ed una la notte tra l'1
e il 2 gennaio, ed un'altra, mi auguro vivamente
L'ULTIMA, stamattina.. Sembra quasi che il nostro
virus con le gambe fosse anche lui in vacanza per le
festività...).
Ad ogni modo il 2 gennaio abbiamo ricevuto il log
(cioè il file dove sono registrati tutti gli accessi)
della serata del 13 dicembre dal quale è evidente che
altri si sono connessi (addirittura in contemporanea a
me) ed abbiamo richiesto il cambio delle password che
FINALMENTE sono state cambiate nella tarda mattinata
di oggi.
Ora dovremmo aver finito di combattere contro
quest'infimo essere che, se va bene, si diverte a
distruggere il lavoro altrui, ma che a giudicare dai
tempi di intervento e da un piccolo effetto
collaterale che poi vi dirò, sembrerebbe avercela
proprio con noi, infatti è arrivato giusto in tempo
per impedirci di ricordare a tutta Italia come
nell'autunno scorso la sua Democrazia e la sua
Costituzione siano state calpestate, per tenerci
impegnati in altro che non fosse il riportare le
porcherie che in questi giorni si stanno perpretando
ai danni dei contribuenti italiani.
Dicevo di un piccolo effetto collaterale di queste
scorrerie del lamer (e guardate che lamer è proprio
l'insulto più insulto che c'è nel campo
dell'informatica)... Google (ma dai google? quelli che
han millemila filmati delle iene sui loro server ma
cancellano quelli che riguardano il tav se solo
qualcuno si permette di inserire nelle parole chiave
notav o n.o.t.a.v.? altra coincidenza eh?) dicevo
google, che da agosto offre un servizio in più e cioè
quello di segnalare nei risultati delle ricerche i
siti che potrebbero contenere software malizioso, ci
annovera tra i siti che contengono malware.
Ed a questo punto mi chiedo se il caro lamer abbia
cessato, o comunque diminuito fortemente, i suoi
"attacchi" perchè era in vacanza o perchè ha ottenuto
lo scopo di farci segnalare da quello che è forse il
maggior motore di ricerca come sito che contiene
software dannoso... (ditemi che sbaglio e che non ce
l'ha con noi, che non è qualcuno pagato per ottenere
proprio questo risultato).
Ad ogni modo ho contattato google, perchè è davvero
triste oltre al danno (piano piano toccherà ricaricare
tutte le immagini e i filmati che c'erano sul sito)
dover subire anche la beffa! Ma ho ben per tema che a
sarà molto molto dura, peggio che parlare con Aruba
(dove immagino che si tratti più di "persone" e della
loro attitudine alle relazioni che non di azienda,
infatti oggi ho trovato una signorina estremamente
gentile che mi ha ricontattato per dirmi che il
problema dovuto al cambio password (dava un Internal
Server Error) era stato risolto).
Ho detto che dovremmo aver finito di combattere, ma
non è affatto detto che tutto sia finito e lo spero
ma potrebbe, oltre allo "strascico google", potrebbe
esserci ancora qualche colpo di coda, ma, anche in
questo caso, la spunteremo noi.
In ogni caso, per maggior sicurezza, a giorni
trasferiremo il sito ad un'altro indirizzo:
www.notav.eu se ritenete sia il caso, segnatevelo.


http://www.notav.it





__________________________________________________
Do You Yahoo!?
Poco spazio e tanto spam? Yahoo! Mail ti protegge dallo spam e ti da
tanto spazio gratuito per i tuoi file e i messaggi
http://mail.yahoo.it