Le pontentissime difese contro gli accher del Viminale

Poco fa mi sono collegato al sito del ministero dell’interno, nello specifico a questa pagina. Purtroppo m’imbatto in un messaggio che dice:

La sua richiesta è stata bloccata dai sistemi posti a protezione del sito web. Si prega di assicurarsi dell’integrità della postazione utilizzata e riprovare.

Si segnala inoltre che alcuni servizi sono accessibili solo all’interno del territorio Italiano.

Che cazzo significa “integrità della postazione”. Tecnicamente parlando, intendo…
Boh.
Poi però specificano che forse non posso accedere a quella pagina perché non sono sul territorio italiano (anzi, Italiano, come scrivono loro).

Provo ad accedere con un IP italiano e la pagina mi compare. Vabbe’, sarà solo quella paginetta, dico. Controllo allora la pagina principale del sito www.interno.gov.it con IP ceco e mi compare lo stesso messaggio:

Questi hanno bloccato l’accesso a tutto il sito del ministero dell’interno per gli IP stranieri.
Anche in questo caso, mi è bastato usare un IP italiano per accedere al sito:

 

Ho fatto un po’ di prove cambiando il paese dell’IP: accedo con IP canadese, australiano, tedesco, britannico ma vengo bloccato con IP ceco, russo, romeno, indiano, polacco, lettone, svedese, giapponese e di Singapore.
Nel caso tedesco è vero che l’IP risultava teutonico ma in realtà era intestato ad Aruba, quindi il sistema forse lo identificava come italiano. Con un altro IP tedesco invece mi ha bloccato.
Negli altri casi non ho capito che logica ha il sistema. Alcuni IP li lascia passare e altri no senza una apparente logica che non sia un sistema di filtraggio fatto col culo (o forse hanno una blacklist di IP presa da chisssà dove).

Ad ogni modo, anche se fossero riusciti a bloccare tutti gli IP stranieri, la misura sarebbe stata comunque cretina.

1) Ovviamente scavalchi il blocco con una VPN. Lo fa un cazzone come me per visitare il sito, figuratevi un pericolosissimo accher russo pakato da putin.
Misura di protezione idiota. Se non sei capace di fare un sistema informatico sicuro di certo non lo proteggi bloccando (?!?) gli IP stranieri.

2) Di cosa hanno paura? Il peggio che possono fare è un defacing il giorno delle elezioni. Ma tutti i dati dello spoglio – per fortuna – viaggiano su solidissima carta dai seggi alle corti d’appello dove vengono fatti i conti. I dati sul sito del Viminale sono solo informativi, non c’è nessun pericolo per la sicurezza dei risultati delle elezioni. Quindi a che scopo un blocco del genere?
Se il peggio che possono fare è un defacing lo possono fare sempre, non necessariamente il giorno delle elezioni. È un problema che devi risolvere in maniera definitiva.

3) Il blocco danneggia i giornalisti stranieri o italiani che si trovano all’estero che il giorno delle elezioni vorranno accedere al sito del Viminale per leggere i risultati ufficiali sul sito del Ministero.
Io mi immagino un redattore della BBC che va sul sito del Viminale e trova questo blocco (non è un’ipotesi campata per aria, ho parlato qualche giorno fa con una giornalista di Nature che dalla Germania consultava il sito del Viminale).
Che bella figura di palta ci fa un Ministero che per “proteggere” il sito lo blocca all’accesso dagli IP esteri?
Equivale a dire: ehy, non me ne frega niente se tu devi preparare il pezzo per il notiziario, cazzi tuoi. Non me ne frega niente di fornirti dati ufficiali.
Si sono bevuti il cervello?

Vi avevo già raccontato del livello ridicolo di sicurezza informatica del ministero dell’interno, ma qua siamo davvero all’idiozia.

8 Comments

  1. guid said:

    Il sito in questione è stato fatto con Drupal; probabilmente non hanno fatto un contratto per un aggiornamento costante del core e dei plugin, ergo sanno che è craccabile…

    2 marzo 2018
    Reply
    • mattia said:

      Il sito in questione è stato fatto con Drupal; probabilmente non hanno fatto un contratto per un aggiornamento costante del core e dei plugin, ergo sanno che è craccabile…

      Ma cazzo, è il ministero dell’interno, se non sanno gestire il loro sito internet possono chiudere baracca e burattini e dedicarsi ad altro nella vita.

      2 marzo 2018
  2. Shuren said:

    @guid: una curiosità, come fai a vedere che è in Drupal? Te lo chiedo per qualsiasi sito, che ragionamento fai o che strumenti usi?
    Io se un sito usa WordPress me ne accorgo quando vedo wp-content ecc. ma per altri CMS non sempre riesco a capire. Da analizza elemento del browser non è sempre agevole.

    2 marzo 2018
    Reply
  3. guid said:

    @Shuren

    o ancora prima dalla gestione dei temi:
    @import url(“http://www.interno.gov.it/sites/all/themes (sites/all)
    I temerari possono vedere se hanno lasciato il file CHANGELOG.TXT all’interno della root e scoprire la versione esatta (la major release è la 7)

    @mattia
    Nel 2012 si stimava che il 90% dei siti web fosse insicuro (fonte: http://www.infosecisland.com/blogview/21211-Ninety-Percent-of-HTTPS-Websites-Insecure.html) e non credo che la situazione sia migliorata, vedi la sicurezza in ambito IOT.
    Tenere il sito su e tutto il ministero al sicuro significa assumere, oltre a più di un amministratore competente, un esperto di sicurezza, non di quelli presi coi concorsi ma assunto in base ad esperienze precedenti (costa molto meno di un consulente).
    Ma questo implicherebbe pianificazione, gestione della cosa pubblica, insomma roba tosta!

    2 marzo 2018
    Reply
  4. MarcoM said:

    @Shuren

    Plugin di Chrome tipo wappalyzer ti danno senza sforzo una serie di informazioni di base su piattaforma e risorse varie utilizzate da un sito. Molto comodo per una prima occhiata.

    3 marzo 2018
    Reply
  5. Shuren said:

    @MarcoM

    Ok, il plugin può anche starmi bene. Ma la curiosità rimane: cosa fa (o cosa analizza o cosa scova) il plugin che io non riesco a fare? Dietro ci sarà un metodo/criterio, no?

    Ho fatto una prova visualizzando il sorgente pagina. Già sapevo (grazie all’utente “guid”) che era Drupal, quindi ho cercato Drupal e in effetti mi sono comparse tre stringhe, tra cui una che conteneva drupal.settings.

    Però già lo sapevo che era Drupal. Mi viene da pensare che forse, occorre spazzolarsi il sorgente (in qualche misura fattibile se uno ha l’occhio allenato). Cosa che un plugin può fare molto più velocemente, agendo per parole chiave standard.

    Altrimenti non saprei.

    4 marzo 2018
    Reply
  6. MarcoM said:

    @Shuren

    Il plugin agisce caso per caso analizzando gli header della risposta e il codice sorgente della pagina a caccia di pezzi di codice chiave (inclusione di javascript, commenti, stringhe varie) specifici di volta in volta.
    Un po’ quello che fai tu a occhio, lui lo fa sapendo già quali stringhe cercare.
    Non esiste un metodo univoco, quindi molta gente ha dato una mano nel catalogare centinaia di software e risorse diverse che lasciano (a meno che uno non si personalizzi completamente il codice) invariabilmente dei segni più o meno costanti.

    4 marzo 2018
    Reply
  7. mamoru said:

    che poi e’ un sito di comunicazione con il cittadino, mica avranno i server coi dati collegati al web direttamente. se devono attingere dei dati da quelli possono farlo indirettamente. o no?

    5 marzo 2018
    Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *