It will help you improve your skills and understand how to start this journey!
Come è nato il progetto
Tutto è successo documentando un fatto che era appena avvenuto.
Facendo un abbonamento sul sito Sprea ho scoperto una cosa molto grave ovvero che la password è salvata in chiaro nel sito e viene mostrata in chiaro nella modifica!
Ho fatto l'abbonamento ad Hacker Journal.
Scopro che il sito @SpreaEditori salva le password in chiaro nel database dei suoi clienti.
Non sono molto felice di aver preso l'abbonamento.— Daniele Scasciafratte 🇮🇹 (@Mte90Net) January 7, 2018
Condividendo la cosa su Reddit e Facebook ho ricevuto dei riscontri interessati.
- Solite lamentele dei siti fatti male
- Non è l’unico sito fatto male con altre segnalazioni documentate o no
- Fare una denuncia al garante della privacy
Siccome vivendo nel mondo open source (come volontario o mantainer) quando sento lamentele mi girano molto le scatole.
Cioè una lamentela è fine a se stessa se non vengono informati i diretti interessati. Noi italiani siamo bravi a fare lamentele passive.
Nella mia lamentela ho menzionato l’account twitter di Sprea editore, quindi c’era un tentativo per fare di più.
Mi è stato fatto notare che avrei potuto comunicare privatamente la questione. In passato mi è già capitato questo problema ma non ho conservato screen o altro. Solitamente i messaggi riguardo la sicurezza vengono ignorati (in Italia) quando si contattano i servizi via facebook o altrove.
Inoltre le molte segnalazioni mi hanno fatto venire la pulce all’orecchio.
Perché mi sono detto come posso cambiare il modo di fare degli italiani in modo facile senza creare casini?
Semplice, documentare questo elenco e strutturarlo con delle regole, sfruttando l’onda del momento e la partecipazione di tutti gli utenti italiani.
Rendendo il tutto anonimo (per poi valutare se passare ad altro).
Inutile pensare a denunce, siti o altre cose se non si ha una base su cui partire. In questo modo si può studiare meglio i passaggi successivi, trovare l’aiuto di qualcun altro e capire le potenzialità.
Dopo qualche giorno…
Il documento conteneva soltanto il sito che ho menzionato poco fa, quindi scarno è dire poco.
Dopo due settimane (tutto nasce il 8/01/2018) ecco i dati presenti:
- 21 siti documentati con screen, pagina e cosa succede che salvano inviano la password in chiaro
- 10 siti da verificare
- 1 sito con un problema
Quindi creo questo documento partendo dal presupposto di siti che salvano la password in chiaro (che è il problema più grave), ma poco dopo trovo che il documento contiene riferimenti a siti che inviano la password in chiaro alla registrazione. Il bello del contribuire che non sai come un progetto si può evolvere.
Tale comportamento di invio delle password non è comune ma non significa per forza che il sito la salvi in chiaro, anche se è disdicevole (le email viaggiano per la rete non criptate).
Su Reddit poi ho raccolto dei pareri interessanti che spiegano il perché nessuno abbia voluto mettere il suo nome in questo progetto sul documento stesso (a parte me).
Mi è stato fatto notare che questo comportamento di giustiziere, può portare a denunce per diffamazione quindi ho deciso di non promuovere il progetto nei giorni successivi.
Qualche dato
Il progetto poi si è evoluto perché:
- Qualcuno si è messo a verificare i siti in elenco
- Qualcuno ha aggiornato lo stato di alcuni siti
- Qualcuno ha migliorato le mie regole iniziali
- Qualcuno ha aggiunto dei materiali di riferimento riguardo il comportamento sbagliato nella gestione di queste password
- 2-3 persone mi hanno contattato per chiedere di partecipare al progetto, pensando che si trattasse di raccogliere e poi hackerare i siti in questione
Su questo ultimo punto ho riso, molto. Lo scopo del progetto, come tanti in sensibilizzazione o di sicurezza è documentare il problema.
Poi sta ad altri decidere cosa farne di questa informazione ma è giusto che sia resa pubblica.
Effettivamente un elenco invoglia quei siti ad essere target di attacchi (lo sarebbero in ogni caso essendo esposti sulla rete), ma il fattore dati sensibili mi permette di fregarmene delle conseguenze sulla mia persona. Perché dopo tutto se la password è in chiaro chissà quali altre cattive pratiche vengono utilizzate in questi siti.
Come contribuire
Mi sembra chiaro condividere questo articolo oppure il link al documento. Come ho già spiegato online, non faccio questo per vantarmi ma per provare a cambiare le cose.
Come quando scoprimmo che il sito https://dati.gov.it non supportava https. Segnalammo il problema al team per la trasformazione digitale e venne risolto.
PS: un fatto curioso su quel sito è che permise di identificare un bug in Firefox, per via dell’encoding della favicon del sito che era molto strana e creava 2 bug in uno, il problema ora è risolto in Firefox 59.
Con internet abbiamo un dovere in più, se c’è qualcosa che non va provare a cambiare in modo attivo. Perché la rete di webeti è pieno ma anche di gente che non ci capisce niente quindi documentare i problemi permette la loro risoluzione in tempi brevi.
Il futuro
Non sono un esperto di sicurezza, cioè so utilizzare gli strumenti di penetration testing, exploit, mettere a posto che un sito è stato hackerato ecc. ma non è il mio lavoro o il mio interesse principale.
Sta a voi decidere cosa farne. Per il momento non prevedo un sito o altro anche perché il progetto è partito da un documento, per il momento può continuare così perché non ho tempo da dedicare nel fare un sito o repo ad hoc.
Mi è stato suggerito (presente nel documento) di segnalare i siti ad un sito in inglese ma per il momento ho evitato. La mia idea era di fare qualcosa focalizzato al pubblico italiano, tutto in italiano.
Non tanto per nazionalismo ma perché quando c’è qualche progetto su internet che riguarda gli italiani da qualche parte si usano termini in inglese o addirittura ha un nome in inglese se il sito è completamente in italiano.
Si volevo che ci fosse un po’ di amore per gli italiani, ricordiamoci che non tutti conosco l’inglese e specialmente termini tecnici. Infatti non tutti capiscono la necessità di salvare la password in chiaro (dopotutto il progetto documenta questo problema), quindi parlare in italiano, rende il progetto più vicino a tutti.
Se altri sono disponibili a portare avanti il progetto, ad organizzarlo meglio sapete dove trovarmi.
Vi lascio il link alla fine così voi potrete decidere cosa fare: https://cryptpad.fr/pad/#/2/pad/edit/t7L+yTimXShvBsQrtxyj1vYh/
Io e la sicurezza
In passato collezionavo exploit php o shell “c99” che trovavo sui siti in cui ho messo le mani, ora li trovate su https://github.com/mattiasgeniar/php-exploit-scripts/commits?author=Mte90.
Prima ancora virus su floppy disk.
Per il momento preferisco continuare a promuoverlo così, con un documento etherpad, anonimo, semplice e strutturato.
PS: Un mio vecchio esempio di documentazione di un problema, che riguarda le XSS che non è stato corretto per anni.
Sicuramente bisognerà fare un progetto riguardo i siti che funzionano male cambiando qualche parametro come:
- http://www.adiconsum.it/progetti/dettaglio.php?id=ciao
- http://www.ilgiornaledirieti.it/leggi_articolo_f2.asp?id_news=48’7833
Mi sono ricordato di questi al volo. Avevo l’abitudine di mettere un apostrofo quando vedevo delle url di questo tipo per vedere se creano problemi, ma sono cresciuto e oramai non ci penso più (il problema sembra che succeda ancora a quanto pare).
