Veltroni sostiene che la Sicurezza dei cittadini è una delle sifde globali del Centrosinistra. Chissà se da oggi si preoccuperà anche della Sicurezza dei... server del Centrosinistra (!)
Qualcuno lo aveva segnalato da tempo e la voce si è sparsa. Incredibile ma vero, i siti di DS & co. presentavano una grave falla di sicurezza che li rendeva facili prede per attacchi informatici. Battute a parte (ovviamente i partiti non si occupano di questi aspetti e si affidano a società informatiche esterne), vediamo cosa è successo.
Ieri sera, Emanuele mi passa un link che punta a LaNuovaStagione.it, il sito del comitato Walter Veltroni per il Partito Democratico.
Lo apro e, INCREDIBILE, vedo il Web.config del sito! Per i non addetti al settore, diciamo che è come se la FIA rendesse inavvertitamente visibili i segreti della Ferrari (è solo per capire, so che è assurdo... ;-)
Il Web.config di un sito ASP.NET contiene alcune impostazioni di configurazione, tra cui spesso la stringa di connessione al database e le password degli amministratori. Grazie a queste informazioni un malintenzionato può assumere il controllo completo del sito, modificare e cancellare informazioni e dati sensibili. In effetti non avevo mai visto un Web.config sprotetto su un sito professionale.
Ho rapidamente constatato che molti siti presentavano lo stesso problema:
- lanuovastagione.it
- dsonline.it
- festaunita.it
- saperidemocratici.it
- italiafrica.it
- veltroniperlitalia.it
- diregiovani.it
Dopo aver scartato l'idea di fare il defacing di dsonline.it con una foto adatta alla situazione (a vedere questo filmato, un hacker lo farebbe subito... :-), ho immediatamente informato i tecnici, che hanno poi risolto il problema.
Come è stato possibile aprire una così grave falla di sicurezza nei server?
Il Web.config non è accessibile direttamente (/web.config), come per default in tutti i siti ASP.NET. Però era possibile arrivarci da una pagina proxy (che chiameremo mostra.aspx), che da querystring accettava un virtual path e trasferiva il controllo alla pagina specificata. Quindi con /mostra.aspx?url=/web.config i controlli di sicurezza erano aggirati: ASP.NET concedeva l'accesso a mostra.aspx, pagina pubblica, ma caricava e restituiva il file protetto web.config.
Inutile dire che quando in un sito ci sono pagine proxy, è essenziale assicurarsi che accedano solo ad altre pagine autorizzate. Di solito sono ammesse solo pagine nella directory o in una sotto-directory fisica dove risiede la pagina proxy e non sono amessi i parent path, ovvero gli indirizzi che contengono ".." per risalire nella gerarchia delle directory. Ognuno faccia come vuole, ma in ogni caso i file .config non dovrebbero mai essere accessibili...
Rimando al post di Raffaele per le considerazioni tecniche sugli errori commessi sul sito. Consiglio anche il post di Alessio.
Chi volesse approfondire l'argomento sicurezza in ASP.NET può iniziare con Creazione di pagine e controlli ASP.NET protetti