Tutto sotto controllo
lunedì 12 ottobre 2009 Pubblicato in Tecnologia, appunti, phishing, sicurezza | 1 Commento »Nei giorni scorsi qualcuno ha alterato il contenuto della home page del sito delle Poste Italiane.
La notizia non ha destato l’attenzione di quella porzione della blogsfera che riesco più o meno a seguire, e così, per una volta, vengo a saperlo da un quotidiano.
La notizia non mi ha sorpreso.
Mi ha invece colpito la sicurezza con cui si liquida l’episodio in una nota ufficiale:
“È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo.
[...]
I defacement comunque sono un fenomeno abbastanza fisiologico su internet. Negli anni si contano azioni simili contro siti di varie levature, anche istituzionali”.
(responsabile Sicurezza Logica (?), Poste Italiane).
Per fortuna non sono un correntista di poste italiane, ma non mi sentirei affatto tranquillizzato da una simile sottovalutazione del rischio.
Se il deface fosse stato messo in atto da veri criminali ridirigendo sulla solita trappola del phishing? Agli utenti viene insegnato a non cliccare mai sui link inviati via email, a digitare sempre a mano l’indirizzo del sito verificandone l’identità. Bene. E se la home page del sito è stata alterata?
Non amo criticare chi lavora in questo settore perché per primo mi rendo conto della distanza tra il desiderato teorico e ciò che si riesce a realizzare nella pratica. E’ vero, il defacing di un sito è spesso fatto a scopo dimostrativo e di rado mira a fare danni concreti. Ma in questo caso stiamo parlando di un sito che gestisce transazioni finanziarie per il quale una simile eventualità non può essere ridotta al defacing di un sito amatoriale.
Grave il fatto che l’azione dimostrativa abbia avuto successo e gravissima la leggerezza con cui l’episodio viene liquidato in modo ufficiale dal responsabile della sicurezza.
Non posso non ricordare che la quasi totalità dei tentativi di phishing che ricevo via email riguardano proprio il sito di poste italiane (utilizza ancora la scheda con la sequenza di caratteri segreti per la verifica delle disposizioni online?) e nel frattempo la banca dati dei CAP viene protetta da captcha per impedire che “i pirati” se ne approprino. Grande attenzione a proteggere un patrimonio che andrebbe mantenuto pubblico, visto che serve a migliorare la qualità stessa del servizio di poste italiane. Ma questa è un’altra, assurda storia.
