Discussione La triste storia di un paese che lascia la cybersecurity nell'ombra, 90% dei pentester trattati come "falliti"

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Helper
17 Gennaio 2022
523
145
379
716
Storia 1

Dopo 6 giorni di lunghe ricerche, riesco a scoprire Reflected XSS in un sito aziendale dove mi ero candidato per trattare di temi di cybersecurity. Questo sito usava un WAF di base, buono ma non ai livelli di Sucuri o Cloudflare/Cloudfront. Con double-URL encoding supero il filtro e ottengo finalmente alert(1) su tutti i browser moderni, mentre su versioni vecchie di Internet Explorer (per qualche ragione, sono sempre usati in alcuni contesti) era possibile bindare codice VBS, che permette di creare degli attack-chain davvero sadici:
--->XSS--->VBS--->shellcode--->reverse shell
Comunque, dopo aver segnalato la vulnerabilità, il responsabile dell'attività visualizza ma non risponde.

Storia 2

La triste storia del --->Consiglio Nazionale delle Ricerche<---, che espone tranquillamente un endpoint affetto da una vulnerabilità documentata nel 2015. La vulnerabilità permette di eseguire codice PHP a piacere. Come è possibile? Ohibò, si tratta di HTTP Header Injection. Una vulnerabilità che affligge solo vecchie versioni di PHP: Un attaccante può inviare un carattere UTF-8 specifico, che provoca il troncamento dell'input, e il server va a deserializzare dati invalidi, senza alcun controllo. L'input molesto inserito negli Header, viene in seguito memorizzato nel database della webapp, che nel momento in cui prova a leggerlo, esegue involontariamente l'input molesto. Per verificare la vulnerabilità non è necessario "attaccare", come molti possono credere. Un pentester che vuole semplicemente verificarla, basta inviare un input innoquo (come 'X-Test: TestString�ExtraData') che non causi danni/violazioni di privacy, o alterazioni del workflow.


Meno male che siamo un paese con un governo di centro-destra. Immaginatevi un paese di CDX che premia e retribuisce la Mediocrità Assoluta: proteggiamo gli utenti che perdono le loro giornate su Facebook, Instagram e P***Hub, abbiamo permesso ad influencer falsi e ipocriti come Chiara Ferragni di inviare comunicati fraudolenti al popolo tramite questi siti 'corazzati', senza dare agli utenti la possibilità di riscattare l'onore, cancellando l'esistenza di questa gente da Internet. Ma il CNR viene lasciato indietro. Incredibile, un senso di gerarchia e di priorità della tutela dei dati mai visti prima d'ora. Priorità di cui ci si può auto-arrogare semplicemente avendo i soldi.
 
Storia 1

Dopo 6 giorni di lunghe ricerche, riesco a scoprire Reflected XSS in un sito aziendale dove mi ero candidato per trattare di temi di cybersecurity. Questo sito usava un WAF di base, buono ma non ai livelli di Sucuri o Cloudflare/Cloudfront. Con double-URL encoding supero il filtro e ottengo finalmente alert(1) su tutti i browser moderni, mentre su versioni vecchie di Internet Explorer (per qualche ragione, sono sempre usati in alcuni contesti) era possibile bindare codice VBS, che permette di creare degli attack-chain davvero sadici:
--->XSS--->VBS--->shellcode--->reverse shell
Comunque, dopo aver segnalato la vulnerabilità, il responsabile dell'attività visualizza ma non risponde.

Storia 2

La triste storia del --->Consiglio Nazionale delle Ricerche<---, che espone tranquillamente un endpoint affetto da una vulnerabilità documentata nel 2015. La vulnerabilità permette di eseguire codice PHP a piacere. Come è possibile? Ohibò, si tratta di HTTP Header Injection. Una vulnerabilità che affligge solo vecchie versioni di PHP: Un attaccante può inviare un carattere UTF-8 specifico, che provoca il troncamento dell'input, e il server va a deserializzare dati invalidi, senza alcun controllo. L'input molesto inserito negli Header, viene in seguito memorizzato nel database della webapp, che nel momento in cui prova a leggerlo, esegue involontariamente l'input molesto. Per verificare la vulnerabilità non è necessario "attaccare", come molti possono credere. Un pentester che vuole semplicemente verificarla, basta inviare un input innoquo (come 'X-Test: TestString�ExtraData') che non causi danni/violazioni di privacy, o alterazioni del workflow.


Meno male che siamo un paese con un governo di centro-destra. Immaginatevi un paese di CDX che premia e retribuisce la Mediocrità Assoluta: proteggiamo gli utenti che perdono le loro giornate su Facebook, Instagram e P***Hub, abbiamo permesso ad influencer falsi e ipocriti come Chiara Ferragni di inviare comunicati fraudolenti al popolo tramite questi siti 'corazzati', senza dare agli utenti la possibilità di riscattare l'onore, cancellando l'esistenza di questa gente da Internet. Ma il CNR viene lasciato indietro. Incredibile, un senso di gerarchia e di priorità della tutela dei dati mai visti prima d'ora. Priorità di cui ci si può auto-arrogare semplicemente avendo i soldi.
interessante, il colmo ora è beccarsi pure una querela
 
Si chi fa del bene va sempre al fresco è risaputo, chi fa del male diventa famoso invece
comunque mi riaggancio al discorso che scrivevi, nello stage che ho svolto con l'uni ho potuto constatare con i miei occhi che un sacco di realtà lavorative ancora oggi usano tassativamente IE... follia!! E questo perché? Perché il loro portale è sviluppato tutto in ASP.NET vecchio come il 15-18.

Come anche tutti i sistemi NVR che girano ancora con flashplayer e hanno bisogno di IE...
 
  • Love
Reazioni: --- Ra ---
Nei corsi di cybersec orientati alla difesa non si parla mai di come ridurre attack surface di impianti che usano tecnologie datate, o come aggiornarli (qualora possibile). Sono spesso corsi in cui si insegna solo a riconoscere attacchi di phishing scadenti. Della serie che all'intestazione dell'e-mail compare scritto 'Poste Italiane' come nome utente, ma l'indirizzo è [email protected]
 
In Italia siamo sempre stati indietro sotto molti aspetti, non mi meraviglio che lo siamo anche in questo campo. Ricordate il caso della neo agenzia della cybersecurity Italiana che appalta i lavori ad aziende esterne come Accenture? Questo la dice lunga sulla criticità della situazione!
 
In Italia siamo sempre stati indietro sotto molti aspetti, non mi meraviglio che lo siamo anche in questo campo. Ricordate il caso della neo agenzia della cybersecurity Italiana che appalta i lavori ad aziende esterne come Accenture? Questo la dice lunga sulla criticità della situazione!
ma in teoria lo fanno tutt'ora, o no?
 
Motivo per cui da ragazzino mi è passata subito la voglia di fare il "white hat", ho solo rischiato di beccare denunce tranne la volta che è andata meglio che è stata tipo "non ci capisco niente ma grazie della segnalazione, giro tutto al reparto tecnico". Penso che il problema sia che il settore non è affatto compreso da chi dirige o organizza le aziende (non di security), considerano la cybersecurity come una mansione ordinaria che può svolgere, tra le altre cose, il "reparto IT" che spesso sono pochi, sottopagati e senza una formazione adeguata, almeno fino a quando non li bucano e perdono un mucchio di soldi, in quel caso forse si svegliano e decidono di investire, sempre che non falliscono prima.

Non ho capito il paragone Ferragni/CNR, penso che valga lo stesso per il CNR che tratta altre materie e avrà delegato il sito a un piccolo team di sviluppo (o addirittura una persona sola) senza pensare troppo alla sicurezza.

Comunque il problema non è solo italiano, riguarda tutto il mondo, nonostante in USA ci siano molti più Security Engineer o figure simili sono pochissimi rispetto a gli sviluppatori "classici", nulla rispetto alla quantità di siti e programmi che vengono rilasciati ogni giorno. Senza contare che spesso lavorano per le solite aziende big che alla sicurezza ci tengono, anche perché è più raro che una piccola/media impresa abbia abbastanza budget.
 
Motivo per cui da ragazzino mi è passata subito la voglia di fare il "white hat", ho solo rischiato di beccare denunce tranne la volta che è andata meglio che è stata tipo "non ci capisco niente ma grazie della segnalazione, giro tutto al reparto tecnico". Penso che il problema sia che il settore non è affatto compreso da chi dirige o organizza le aziende (non di security), considerano la cybersecurity come una mansione ordinaria che può svolgere, tra le altre cose, il "reparto IT" che spesso sono pochi, sottopagati e senza una formazione adeguata, almeno fino a quando non li bucano e perdono un mucchio di soldi, in quel caso forse si svegliano e decidono di investire, sempre che non falliscono prima.

Non ho capito il paragone Ferragni/CNR, penso che valga lo stesso per il CNR che tratta altre materie e avrà delegato il sito a un piccolo team di sviluppo (o addirittura una persona sola) senza pensare troppo alla sicurezza.

Comunque il problema non è solo italiano, riguarda tutto il mondo, nonostante in USA ci siano molti più Security Engineer o figure simili sono pochissimi rispetto a gli sviluppatori "classici", nulla rispetto alla quantità di siti e programmi che vengono rilasciati ogni giorno. Senza contare che spesso lavorano per le solite aziende big che alla sicurezza ci tengono, anche perché è più raro che una piccola/media impresa abbia abbastanza budget.
io penso venga molto sottovalutato questo lavoro per quanto riguarda la mentalità. Basti pensare anche quando magari fai notare a qualcuno mentre sei a passeggio magari che il portone di un palazzo non chiude bene e ti guardano tutti male come se pensassero che la sera vuoi andare a derubarli...
 
Io non riesco a capire come mai se carichi un malware su Apple Store rischi l'estradizione negli USA, ma se trasformi il Consiglio Nazionale delle ricerche nel Consiglio di na' cosa a caso, tutto a posto. Se c'hai i soldi ti puoi comprare pure una nazione, tanto che fa... Ormai siamo ridotti a quello: carta straccia
Messaggio unito automaticamente:

Cioè scusate, è uno sclero che posso riassumere con "Voglio che alle infrastrutture informatiche degli organi del governo, sia attribuita maggiore proprità rispetto a quelle dei civili"
 
Per questo, quando si decide di fare del bene in questo senso, conviene sempre fare delle segnalazioni anonime: almeno ti tuteli da eventuali denunce ed altri guai legali. Con le dovute accortezze e con le scarsissime/nulle competenze tecniche che ha la postale qui in Italia, non ti beccano se segnali da anonimo.
 
Per questo, quando si decide di fare del bene in questo senso, conviene sempre fare delle segnalazioni anonime: almeno ti tuteli da eventuali denunce ed altri guai legali. Con le dovute accortezze e con le scarsissime/nulle competenze tecniche che ha la postale qui in Italia, non ti beccano se segnali da anonimo.
un po' come anche segnalazioni non di natura informatica, anche solo per evitare di venire trascinati in un calvario burocratico
 
Il problema non è la denuncia se può essere fatta o meno, il problema è che questi non riflettono. Se riflettessero non ci sarebbe alcun problema: denunciami, sentiti furbo, credi di aver sventato un attacco. Sai che c'è però? Fra i due litiganti il terzo gode, perché invece di risolvere la vulnerabilità pensi a denunciarmi? Mentre stai lì a scaldare le sedie in tribunale, un hacker cinese l'ha trovata ma invece di segnalarla sta esfiltrando dati per scopi economici (e quindi realmente illegale) <- Su questo premo io, per dire che c'è un errore di scrittura nella legge che tutela il patrimonio informatico: il reato deve configurarsi solo quando è accertato il movente maligno, non la punizione dell'atto in sé. Perché quello che non hanno capito questi Daddy mentre scrivevano L'Art. 615 è che il danno alla privacy e all'integrità dei dati si verifica SOLO quando l'attaccante CONCATENA un MALWARE all'exploit. Ad esempio, se al posto di "document.cookie" nell'XSS injection inserisci "alert(1)" non hai violato/e non vuoi violare un bel niente: hai solo dimostrato che esiste la vulnerabilità, ma non la stai sfruttando per lo scopo a cui è intesa, cioè impersonare la sessione dell'utente.
 
  • Mi piace
Reazioni: --- Ra ---
Stato
Discussione chiusa ad ulteriori risposte.