domenica 19 febbraio 2012

Lo strano caso di un sito fantasma

ATTENZIONE: TUTTO QUANTO DESCRITTO NEL PRESENTE ARTICOLO CORRISPONDE A FATTI REALMENTE AVVENUTI, COSÌ COME RIPORTATI. IL SOTTOSCRITTO NON HA NESSUNA RELAZIONE CON LE PERSONE O GLI ENTI INDICATI E NON INTENDE CON LE SUE PAROLE ESPRIMERE VALUTAZIONI SU DI ESSI. L'ARTICOLO HA ESCLUSIVAMENTE VALORE DI RICERCA TECNICA NELL'AMBITO DELLA SICUREZZA INFORMATICA, ED A TALE AMBITO ESCLUSIVO SI RIFERISCE. L'AUTORE RESTA COMUNQUE A DISPOSIIZIONE PER EVENTUALI CHIARIMENTI IN MERITO A QUANTO ESPOSTO.

Leggendo i giornali(1), sono venuto a conoscenza del fatto che un GIP avrebbe ordinato il sequestro e l'oscuramento di un sito Web(2). Fin qui nulla di strano: ogni giorno vengono individuati siti con contenuto pedo-pornografico oppure siti che permettono la condivisione di materiale protetto dai diritti d'autore. In questo caso, tuttavia, sembra trattarsi di altro (diffamazione, ex art. 595 c.p.: per una sua definizione v. p.es. http://www.studiolegale-online.net/penale_r02.php). Quindi si tratterebbe (il condizionale è d'obbligo, in quanto non ho sottomano il Decreto del GIP) per la prima volta nella giurisprudenza italiana di un oscuramento di un sito (in Italia) per un presunto reato di questo tipo, oltretutto in fase indiziaria, prima che il Giudice Ordinario abbia potuto prendere in carico il caso. L'ulteriore anomalia, a mio modo di vedere, consisterebbe nel fatto di aver richiesto esplicitamente l'inibizione all'accesso all'indirizzo IP relativo al sito in questione, senza tenere in considerazione la possibilità che tale indirizzo IP possa essere condiviso con altri e ben distiniti siti web che nulla hanno a che vedere con quello incriminato e che sono gestiti e amministrati da soggetti del tutto diversi. In effetti, avviene che l'indirizzo IP 72.167.232.231 sia condiviso anche (e non solo) dai siti: "www.jacklondon.com" e "fedora-tunisia.org".

Implementazione del "blocco".

Ma vediamo come i provider italiani, a cui il Decreto del GIP si rivolge per ottenere l'oscuramento, hanno realizzato quanto richiesto.

Posso portare testimonianza diretta di ciò che avviene accedendo ad Internet tramite il mio provider (AliceADSL): se qualcuno dei lettori vuole aggiungere informazioni, è ovviamente il benvenuto.

Dunque sul mio pc avviene che il nome "www.vajont.info" venga risolto con l'indirizzo IP: 127.0.0.1. Sorpresa! Quindi il sito incriminato "esiste" e per di più sarebbe localizzato sul mio pc! Sta di fatto che io ho attivo un webserver sull'indirizzo 127.0.0.1 che utilizzo ovviamente in locale (dal mio stesso pc, e non sarebbe possibile altrimenti) per tutt'altro scopo, non certo per scimmiottare "www.vajont.info". Quindi se io, all'oscuro di tutta la faccenda, cercassi di raggiungere "www.vajont.info" verrei magicamente dirottato sul sito di default del mio stesso webserver: direi che il fatto è piuttosto singolare, se non oltremodo irritante (e non ho indagato oltre, se questo anomalo comportamento del provider possa configurarsi come illecito).

Un'altra sorpresa è stata quando un mio amico italiano che vive all'estero mi ha confermato che "www.vajont.info" è tranquillamente raggiungibile, e risponde all'indirizzo IP 72.167.232.231. Si potrebbe obiettare che la giurisdizione di un GIP italiano si ferma ai nostri confini, ma è altrettanto vero che, se lo scopo dell'oscuramento è quello di impedire la visualizzazione di quel sito ai cittadini italiani, si stanno trascurando gli italiani all'estero. Non faccio menzione degli italiani in Italia che, con semplici artifici, riescono comunque a raggiungere quel sito anche dall'Italia, perché si tratta di comportamenti in qualche misura censurabili, ancorché diffusi.

In altre parole, quel provvedimento, per la maniera in cui è stato attuato, si rivela abbastanza inefficace.

Sottolineo la circostanza che l'indirizzo IP 72.167.232.231 non è stato affatto disabilitato, nemmeno dall'Italia, in quanto i già nominati siti "www.jacklondon.com" e "fedora-tunisia.org" risultano normalmente raggiungibili dal mio pc proprio attraverso quell'indirizzo. E giustamente, secondo la mia opinione. Per fare un parallelo con la vita comune, se viene commesso un omicidio in un appartamento, si sequestra (se necessario) l'appartamento, e non tutto lo stabile, né tantomeno il quartiere in cui è avvenuto il fatto.

Effetti collaterali.

A poca distanza dal fatto sopra riportato, ne avviene un altro, che sembra ad esso collegato, stando alle dichiarazioni di chi dice di averlo messo in opera(3). Il sito internet di uno degli autori della denuncia da cui tutto ciò ha avuto origine(4) viene violato dal sedicente gruppo "Anonymous Italia", che mette il sito in condizioni non operative e inserisce un proprio messaggio all'interno del sito stesso(5). Osservazione: se è stato così velocemente possibile eseguire queste (illecite) operazioni, si può dedurre che il soggetto non ha riposto sufficiente attenzione ai livelli di sicurezza del proprio sito istituzionale, né ha delegato tale incombenza a persone che potessero proteggerlo da questo sfortunato incidente.

Considerazioni finali.

Da un punto di vista di "analisi del rischio" si potrebbe concludere che difendere la propria reputazione in rete è più importante che tutelare il proprio sito istituzionale da attacchi dei "soliti hacker" (espressione che disconosco, come i miei lettori sanno benissimo). Per il mestiere che mi onoro di avere scelto, non sono d'accordo.

----

Note:

(1) http://www.repubblica.it/tecnologia/2012/02/17/news/giudice_chiude_sito_scilipoti-30053511/

(2) http://www.vajont.info/

(3) http://pastebin.com/S0FCaLmV

(4) http://www.mauriziopaniz.it/

(5) http://www.mauriziopaniz.it/public/

IP 72.167.232.231

mercoledì 15 febbraio 2012

Ron e Whit

Brutte notizie per la crittografia basata su algoritmo RSA, o almeno così sembra, stando alla ricerca pubblicata da alcuni esperti (dettagli e link in fondo a questo articolo).

In poche parole, sono stati analizzati oltre 6 milioni di certificati X.509, contenenti altrettante chiavi pubbliche di crittografia, riscontrando una significativa ricorrenza (1%) di moduli duplicati.

Che cosa significa in pratica? che utilizzando quei particolari certificati, si potrebbe facilmente risalire alle relative chiavi private di cifratura, e quindi decriptare i dati (in transito). Semplificando al massimo, in quei casi sarebbe come non utilizzare affatto la crittografia, essendo tuttavia formalmente convinti di sfruttarne ancora le proprietà.

Diciamo che non è un pericolo immediato per la sopravvivenza della crittografia così come oggi la conosciamo e usiamo, ma piuttosto una mina vagante che impedisce di dormire sonni tranquilli.

Senza dubbio verranno prese le opportune contromisure, ma tutto ciò richiede tempo, e soprattutto non potrà essere messo in produzione a breve.

Nel frattempo, speriamo che il nostro home-banking resti abbastanza sicuro.

E ora i link promessi:

 

Ron e Whit

Brutte notizie per la crittografia basata su algoritmo RSA, o almeno così sembra, stando alla ricerca pubblicata da alcuni esperti (dettagli e link in fondo a questo articolo).

In poche parole, sono stati analizzati oltre 6 milioni di certificati X.509, contenenti altrettante chiavi pubbliche di crittografia, riscontrando una significativa ricorrenza (1%) di moduli duplicati.

Che cosa significa in pratica? che utilizzando quei particolari certificati, si potrebbe facilmente risalire alle relative chiavi private di cifratura, e quindi decriptare i dati (in transito). Semplificando al massimo, in quei casi sarebbe come non utilizzare affatto la crittografia, essendo tuttavia formalmente convinti di sfruttarne ancora le proprietà.

Diciamo che non è un pericolo immediato per la sopravvivenza della crittografia così come oggi la conosciamo e usiamo, ma piuttosto una mina vagante che impedisce di dormire sonni tranquilli.

Senza dubbio verranno prese le opportune contromisure, ma tutto ciò richiede tempo, e soprattutto non potrà essere messo in produzione a breve.

Nel frattempo, speriamo che il nostro home-banking resti abbastanza sicuro.

E ora i link promessi:

(wordpress permettendo)