Ovvero: bisogna sempre stare attenti a fidarsi degli altri.
Piccolo antefatto: a Natale del 2011 viene bucato, dal gruppo Anonymous, il sito della nota agenzia di cyber-intelligence STRATFOR.
Vengono sottratti numerosi dati. Prima di tutto il dump delle email degli analisti, poi la lista degli utenti, gli account, le password e in numerosi casi le carte di credito dei sottoscrittori ai servizi dell’agenzia. Ma non voglio parlare di questo, in giro trovate tantissime analisi di quanto è successo, inclusa una eccellente timeline (seppure con molti link ormai rimossi).
Analizzando il database che trovate su Dazzlepod, ho notato che ci sono (oltre ad una vagonata di altra roba) degli account gov.it interessanti:
Non avendo mai sentito il dominio alfa.gov.it, sono andato a fare una ricerca, ma non espone un servizio web accessibile direttamente. Qualche parolina nelle email però inizia a far riflettere…
Cercando su Google emerge però un ulteriore sottodominio webq.alfa.gov.it, che presenta una form di login, presumibilmente ad un’interfaccia di web mail.
Fare un whois ai siti governativi italiani è abbastanza complesso (come registrarli del resto, ma si tratta appunto di roba governativa e italiana, quindi c’è poco da meravigliarsi 🙂 ) anche se un servizio esiste, vedi l’aggiornamento più sotto.
Questo sito è ospitato dall’IP 151.13.11.186, di Infostrada.
Non è possibile capire di più, ma è possibile utilizzare un fantastico strumento come Robtex, per capire cos’altro c’è su quella classe di indirizzi, visto che verosimilmente saranno stati assegnati tutti insieme. E infatti facendo una ricerca esce fuori…
Ecco rivelato chi c’è dietro alfa.gov.it, e perché era interessato all’intelligence.
Chiariamo subito una cosa, non si trattava e non si tratta di risorse segrete.
Si tratta di asset più o meno volutamente nascosti. Per lo meno non esposti direttamente a chi non si cura di cercare le cose per bene.
Questa storia è un bel case study per spiegare due cose molto importanti nella sicurezza informatica.
La prima è senza dubbio che non bisogna fidarsi di nessuno.
Per quanto sia importante il fornitore del servizio, per quanto si paghi o si pensi di stare al sicuro, non bisogna mai esporsi troppo direttamente. Sarebbe bastato usare un indirizzo gmail registrato al volo e sarebbe scomparso nelle centinaia di miglaia di utenze dumpate.
Il secondo è che le fonti OSINT– Open Source Intenlligence sono potentissime.
È necessario realmente fare due/tre ricerche e la mole di informazioni che viene resa disponile è enorme. Quindi se pensate di poter nascondere qualche cosetta tra le pieghe dei vostri servizi internet, se pensate che in fondo che male c’è ad usare l’email aziendale… ripensateci. Non stiamo parlando di tecniche avanzate di Google hacking, basta una semplicissima ricerca.
Ironia della sorte, i colpiti da questa vicenda sono proprio coloro che stavano cercando, e chissà perché con tanti indirizzi diversi, proprio informazioni da fonti OSINT…
Bye!
Aggiornamento: cercando meglio, una specie di whois dei domini .gov.it è disponibile qui, dove il dominio alfa.gov.it risulta attivo e registrato a “Presidenza del Consiglio dei Ministri CESIS“. Il che rende ancora più semplice l’OSINT e ancora più emblematico il problema derivante dall’uso di quelle email.
Glamis on Security 
Interessante, ma non credo ci sia la possibilità di accedere in alcuna maniera ad informazioni classificate. Non ci vedo nemmeno chissà quale tentativo di nascondere qualcosa.
Il discorso secondo me è un po’ più ampio.
Il punto principale è che si sono usati asset diciamo “riservati” fidandosi del fatto che un certo servizio fosse sicuro. Riservati ma non nascosti se preferisci, ma resta non chiaro il perché si sia registrato un dominio .gov.it su cui non c’è un server web, che non è chiaro nel nome e che però risponde chiaramente ad una certo servizio del Governo.
La cosa che ci tenevo a fare notare è che, proprio nella ricerca di informazioni su fonti aperte, il CESIS, Aisi o chi altro ha difatto esposto ulteriorimente informazioni che non voleva fossero pienamente pubbliche. Questo paradosso è molto interessante e emblematico per chi fa ricerca di informazioni di mestiere.
Un po’ come se io stessi monitorando la chat di Anonops per vedere se mi stanno attacando, e lo facessi direttamente dal proxy della mia azienda. Magari non ci pensavano nemmeno, lo vedono e mi attaccano subito. Non credi? 🙂
Personalmente non avrei nemmeno fatto comparire quel dominio nel motore di ricerca di italia.gov.it, ma di sicuro non avrei usato quelle email per registarmi da qualche parte.
Per quanto riguarda l’accesso ad informazioni anche lì, non la farei così facile. Partendo dall’elenco degli utenti ci vuole poco ad arrivare a quell’interfaccia di login… cosa che sarebbe stata molto più difficile da trovare senza conoscere quel particolare dominio.
E cosa ci sia dietro non lo so proprio (nè lo voglio sapere… 😉 ).
Sono d’accordo, ma le risorse che hai indicato non sono sottosposte a criteri di sicurezza da intelligence. A mio avviso non esiste nemmeno il tentativo di nascondere alcunché. Sui provider pubblici possono passare al massimo le telefonate e email di Moggi o gli intrallazzi di qualche faccendiere.
Ti ricordi di un certo Julian Assange, a proposito di Intelligence ci raccontava del carattere un po’ scontroso di Sarkozy, ma non è mia riuscito a predire la catture di Bin Landen.
In ogni caso secondo me anche avendo accesso fisico alle risorse, non troveresti nemmeno i turni degli autisti del Presidente della repubblica 🙂
Di sicuro non sono cose top secret, questo sì. D’altronde come dici tu stesso le stesse carte di WikiLeaks non è che poi contenessero rivelazioni sconvolgenti, eheh…
Per il Colle il discorso cambia un po’, visto che ci sono anche indirizzi quirinale.it nella lista, e anche con carta di credito 🙂
Ma nemmeno riservate. L’informazione classificata TOP SECRET per essere trattata da sistemi automatici richiede dei requisiti paranoici. Comunque al di là di tutto guardati questo film:
http://filmup.leonardo.it/sc_thelistening.htm
Conosco le normative a riguardo, ma ripeto il punto non è quello.
Il film l’ho visto, molto suggestivo ma alquanto improbabile…
Il film è fantascienza, anche perché non si viene chimrcamente lobotomizzati per aver distrubato l’intelligence o settori affini, però con 2^32 ip e tutte le falle che ci sono in giro quali vai a beccare? 🙂
sutor.it di chi è ???
Per sapere di chi è un sito è sufficiente una query al whois 🙂
è citato qui: http://www.lettera43.it/tecnologia/web/hacking-team-il-sito-sutor-e-il-contro-spionaggio-militare_43675178744.htm
Posso confermarvi che alfa.gov.it si tratta di un dominio governativo e vi spiego il perché, fui contattato circa 4 anni fa da un signore che si identificò come Victor un webmaster del reparto informatico della Presidenza del Consiglio dei Ministri. Il motivo percui fui contattato era la loro intenzione (per conto della Presidenza) di acquisire uno dei mini domini, precisamente sicurezzanazionale.it poiché lo Stato detiene sicurezzanazionale.gov.it, questo signore mi disse di inviargli un preventivo di vendita all’indirizzo email victor[at]alfa.gov.it per il quale avrebbe risposto in prima persona (anche se così non è stato), ma nonostante tutto non ho ricevuto email di errore dal mio server di posta.
A proposito di sutor.it: http://www.lettera43.it/tecnologia/web/hacking-team-il-sito-sutor-e-il-contro-spionaggio-militare_43675178744.htm
Molto interessante, me l’ero perso.
Grazie!