Recentemente ho notato che il certificato SSL di https://www.beppegrillo.it è scaduto.
La cosa mi ha incuriosito perchè quel sito web è uno dei più frequentati d’Italia, e mi è parso strano che nessuno nell’arco di 5 giorni si sia indignato di dover inserire una password in una connessione in chiaro (esempio).
Anche perchè la figura di m. è imminente, le beta o candidate-release di browser moderni mostrano degli avvisi espliciti laddove è richiesta una password in una connessione non cifrata. Vedi ad esempio https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/
Ieri sera l’ho fatto notare a Paolo Attivissimo via Twitter:
@disinformatico Son già 5 giorni che il certificato SSL di https://t.co/WdNBarkjim è scaduto, ma pare l'ho notato solo io… Mumble mumble.
— Fabrizio Carimati (@Clodo76) January 8, 2017
Poco dopo, Paolo ha twittato:
I grillini si vantano di essere quelli che capiscono Internet. Allora come mai il loro certificato SSL è scaduto da giorni? (via @clodo76) pic.twitter.com/pQ4Rw7omec
— Paolo Attivissimo (@disinformatico) January 8, 2017
Immediatamente ho precisato che un certificato SSL non scaduto per il dominio www.beppegrillo.it esiste, ma non è configurato sulla macchina relativa:
@disinformatico Quello su https://t.co/UUmrFMqyIb scade nel 2018 e copre tre domini tra cui https://t.co/S6SlyG1j4L. Mal configurazione?
— Fabrizio Carimati (@Clodo76) January 8, 2017
Claudio d’Angelis mi ha fatto notare che l’approccio non è proprio professionale, dato che normalmente il protocollo non dovrebbe determinare il tipo di contenuti, mentre invece pare evidente che il blog sia necessariamente in chiaro, e la crittografia riservata ad altro (non so di più, mai frequentato il sito di Grillo).
.@disinformatico probabilmente perche' il sito e' gestito dal "nipote che smanetta" di turno che non ha la minima idea di cosa stia facendo pic.twitter.com/eV1m4YYTdM
— claudio d'angelis (@daw985) January 8, 2017
A questo punto ho indagato (parolone…) altri 5 minuti (neanche), e ho notato che il webserver risponde fornendo informazioni sulla versione di Apache installata
@daw985 @disinformatico Porta pure a un 404. Ahi, non è vecchiotto Apache/2.2.15? … pic.twitter.com/o59Rb8e9pI
— Fabrizio Carimati (@Clodo76) January 8, 2017
Non che questo sia grave di per sè, ma di solito i professionisti evitano di fornire questo genere di info per rendere almeno un pelo più difficile la ricerca di vulnerabilità.
Un veloce controllo su SSL-Labs ha evidenziato vulnerabilità note (PODDLE), cipher weaks e altre varie.
@daw985 @disinformatico Vabbè ma è un colabrodo … https://t.co/c0vTycG7nj è come sparare sulla croce rossa.
— Fabrizio Carimati (@Clodo76) January 8, 2017
Cosa prevedibile con un Apache 2.2.15, che è un po’vecchiotto. POODLE confermato anche dallo scan online di Comodo.
@daw985 @disinformatico https://t.co/e3hZEQFIRD è pure vulnerabile al POODLE Attack, roba del 2014…
— Fabrizio Carimati (@Clodo76) January 8, 2017
Più di una persona su Twitter fa notare che il sito di gestione del Movimento è su un’altra macchina, https://rousseau.movimento5stelle.it/ , che a una prima occhiata pare ben configurata.
Ma obiettivamente in questo settore non è che se un qualcosa è obsoleto lo si abbandona senza aggiornamenti, anche perchè se quell’accesso presenta vulnerabilità da remote-code-execution, significa accesso all’intera macchina (ed eventualmente al database annesso).
E qui arriviamo al motivo di questo riassunto.
Mi preme precisare che ho usato il termine colabrodo perchè è evidente la situazione, ma NON ho MAI detto che è una situazione grave.
Mi ritengo un professionista nel mio settore (sicurezza IT), ma qui sono sempre rimasto a livelli di chiacchere da bar.
Stabilire la gravità di noncuranze richiederebbe un’analisi più accurata, dei penetration-testing, notifiche private, disclosure concordate etc.
Potrebbe anche essere che la macchina in questione è solo un vuoto reverse proxy o un load-balancer a una macchina di backend meglio configurata, per dire.
Estote parati! (@lastknight docet)
(Editato in seguito per correggere il mio italiano..)