Sito INPS: niente "hacker", solo una scusa per proteggere gli appalti da 360 milioni di euro. La verità? Hanno usato la CDN Microsoft Azure Edge senza sapere come si usa - italy
Buongiorno nexiani, un amico mi segnala questo thread di reddit: https://www.reddit.com/r/italy/comments/fuyvwd/sito_inps_niente_hacker_solo_... --8<---------------cut here---------------start------------->8--- La mattina del 1 aprile, per qualche ora (e non "5 minuti" come ha dichiarato l'INPS), è stata impostata la CDN Microsoft Azure Edge (rivenditore di Akamai in questo caso) davanti al server del sito dell'INPS. www.inps.it era diventato un CNAME a inps-cdn-a.azureedge.net. Poi hanno ripristinato l'IP diretto senza CDN, "risolvendo l'attacco hacker" e il "data breach" (autoinflitti?!?!) Chi continuava a visualizzare dati altrui in seguito avrebbe dovuto semplicemente cancellare la cache del browser, oppure utilizzare la modalità incognito. Addirittura la CDN sta funzionando ancora oggi: (quindi Microsoft sta continuando a ricevere soldi pubblici per questo) https://inps-cdn-a.azureedge.net/nuovoportaleinps/home.htm https://inps-cdn-a.azureedge.net/nuovoportaleinps/default.aspx Archiviati per futura memoria: https://archive.is/inps-cdn-a.azureedge.net Ecco svelato il mistero, una volta per tutte. Niente "hacker", e nessun database fallito in modi improbabili e assurdi, come sosterrebbero alcuni sedicenti "esperti" (non esiste che si possano "confondere" le richieste al database...) --8<---------------cut here---------------end--------------->8--- Non ho avuto modo di approfondire la veridicità di queste informazioni, potrebbero anche essere falsità costruite ad arte *ma* potrebbero anche contenere informazioni verificabili da terzi. Se fosse vero che tutto è dipeso da questo, dire che si tratta di una cosa grave è un eufemismo... qualsiasi sia la causa. Dalle scarne informazioni che ho non è possibile escludere che possa essersi trattato di un attacco a livello DNS... che però da solo non può consentire l'aggiramento della verifica del certificato X.509 (HTTPS) del sito [1]... non voglio neanche pensarci :-O Io so solo che oggi il record DNS inps-cdn-a.azureedge.net non esiste più (AFAIK) e non ho la possibilità di verificare se il giorno del disastro davvero l'indirizzo dell'INPS www.inps.it (inps.it non esiste :-S ) puntasse a quel record. Spero che i sistemisti dell'INPS siano onesti e pubblichino a breve un rapporto post-mortem completo che risponda anche a questi dubbi, i fornitori seri fanno così. Nel thread però ci sono diverse altre informazioni più facilmente verificabili, tipo la sostanziale privatizzazione (si chiama ancora outsourcing?) del sistema informativo INPS, che illustrano il contesto. Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari. Saluti, Giovanni [1] qualcuno avrebbe dovuto "impersonare il certificato valido" dell'INPS, è possibile da parte di un attaccante con molte risorse -- Giovanni Biscuolo Xelera IT Infrastructures
ROTFL! Ok, che non fosse un attacco era chiaro a tutti (o no?), ma questa non mi era proprio venuta in mente! Dovevo immaginarlo: il responsabile dell'inps avrà sentito che ci sarebbero stati problemi di carico e fatto tesoro del marketing^W training sul cloud che scala e delega^W risolve tutti i problemi. Grazie dell'ottima analisi, Giovanni. Brillante l'idea di archiviare "le prove". E sì, condivido pienamente le tue preoccupazioni. Giacomo On Monday, 6 April 2020, Giovanni Biscuolo <g@xelera.eu> wrote:
Buongiorno nexiani,
un amico mi segnala questo thread di reddit:
https://www.reddit.com/r/italy/comments/fuyvwd/sito_inps_niente_hacker_solo_...
--8<---------------cut here---------------start------------->8---
La mattina del 1 aprile, per qualche ora (e non "5 minuti" come ha dichiarato l'INPS), è stata impostata la CDN Microsoft Azure Edge (rivenditore di Akamai in questo caso) davanti al server del sito dell'INPS.
www.inps.it era diventato un CNAME a inps-cdn-a.azureedge.net. Poi hanno ripristinato l'IP diretto senza CDN, "risolvendo l'attacco hacker" e il "data breach" (autoinflitti?!?!)
Chi continuava a visualizzare dati altrui in seguito avrebbe dovuto semplicemente cancellare la cache del browser, oppure utilizzare la modalità incognito.
Addirittura la CDN sta funzionando ancora oggi: (quindi Microsoft sta continuando a ricevere soldi pubblici per questo)
https://inps-cdn-a.azureedge.net/nuovoportaleinps/home.htm
https://inps-cdn-a.azureedge.net/nuovoportaleinps/default.aspx
Archiviati per futura memoria:
https://archive.is/inps-cdn-a.azureedge.net
Ecco svelato il mistero, una volta per tutte. Niente "hacker", e nessun database fallito in modi improbabili e assurdi, come sosterrebbero alcuni sedicenti "esperti" (non esiste che si possano "confondere" le richieste al database...)
--8<---------------cut here---------------end--------------->8---
Non ho avuto modo di approfondire la veridicità di queste informazioni, potrebbero anche essere falsità costruite ad arte *ma* potrebbero anche contenere informazioni verificabili da terzi.
Se fosse vero che tutto è dipeso da questo, dire che si tratta di una cosa grave è un eufemismo... qualsiasi sia la causa.
Dalle scarne informazioni che ho non è possibile escludere che possa essersi trattato di un attacco a livello DNS... che però da solo non può consentire l'aggiramento della verifica del certificato X.509 (HTTPS) del sito [1]... non voglio neanche pensarci :-O
Io so solo che oggi il record DNS inps-cdn-a.azureedge.net non esiste più (AFAIK) e non ho la possibilità di verificare se il giorno del disastro davvero l'indirizzo dell'INPS www.inps.it (inps.it non esiste :-S ) puntasse a quel record.
Spero che i sistemisti dell'INPS siano onesti e pubblichino a breve un rapporto post-mortem completo che risponda anche a questi dubbi, i fornitori seri fanno così.
Nel thread però ci sono diverse altre informazioni più facilmente verificabili, tipo la sostanziale privatizzazione (si chiama ancora outsourcing?) del sistema informativo INPS, che illustrano il contesto.
Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari.
Saluti, Giovanni
[1] qualcuno avrebbe dovuto "impersonare il certificato valido" dell'INPS, è possibile da parte di un attaccante con molte risorse
-- Giovanni Biscuolo
Xelera IT Infrastructures
Il 06/04/20 13:20, Giovanni Biscuolo ha scritto:
Nel thread però ci sono diverse altre informazioni più facilmente verificabili, tipo la sostanziale privatizzazione (si chiama ancora outsourcing?) del sistema informativo INPS, che illustrano il contesto.
Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari.
Interessante anche il commento di Raoul Chiesa: https://www.key4biz.it/caso-inps-intervista-a-raoul-chiesa-una-bugia-che-fa-... rob
Buonasera Roberto e nexiani, Roberto Resoli <roberto@resolutions.it> writes:
Il 06/04/20 13:20, Giovanni Biscuolo ha scritto:
[...]
Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari.
Confermo le mie "preoccupazioni informate" :-) ...tuttavia, pur non volendo _assolutamente_ fare l'avvocato difensore d'ufficio dei gestori del sito INPS, ribadisco che ancora manca un report ufficiale dettagliato e - seppur la vedo davvero difficile - non è ancora esclusa la possibilità che si sia trattato di un attacco.
Interessante anche il commento di Raoul Chiesa:
https://www.key4biz.it/caso-inps-intervista-a-raoul-chiesa-una-bugia-che-fa-...
Commenti molto interessanti sul contesto generale, condivido! Non mi pare aggiunga elementi nel merito di quanto successo, però (come potrebbe d'altronde) [...] Vorrei aggiungere una considerazione che mi è venuta un leggendo qua e là qualche commento/dichiarazione sarcastica, tipo porn-hub che offre aiuto a INPS, ma soprattutto questo: https://medium.com/@WebReflection/var-pippo-c99c5d798726 Il mio commento è: potrebbe essere davvero stato un errore grossolano (e piuttosto imperdonabile) di gestione/configurazione della CDN *ma* di certo l'INPS non è la prima e non sarà l'ultima istituzione/azienda a utlizzare codice messo assieme col fil di ferro e/o vittima di data breach [1], alcuni dei quali probabilmente sono stati causati da *errori* anche grossolani tipo: https://en.m.wikipedia.org/wiki/2017_Equifax_data_breach --8<---------------cut here---------------start------------->8--- The data breach into Equifax was principally through a third-party software exploit that had been patched, but which Equifax had not updated on their servers. Equifax had been using the open-source Apache Struts as its website framework for systems handling credit disputes from consumers. A key security patch for Apache Struts was released on March 7, 2017 after a security exploit was found and all users of the framework were urged to update immediately.[1] Security experts found an unknown hacking group trying to find websites that had failed to update Struts as early as March 10, 2017, as to find a system to exploit.[2] As determined through postmortem analysis, the breach at Equifax started on May 12, 2017, as Equifax had yet to update its credit dispute website with the new version of Struts. --8<---------------cut here---------------end--------------->8--- I casi che hanno fatto storia si sprecano. Quindi inviterei ad andarci piano con le accuse di "programmatori o sistemisti all'amatriciana" che vedo circolare (non qui) :-D ...e sì, la sicurezza su Internet è una brutta bestia Saluti, Giovanni [1] https://en.wikipedia.org/wiki/Data_breach -- Giovanni Biscuolo Xelera IT Infrastructures
participants (3)
-
Giacomo Tesio -
Giovanni Biscuolo -
Roberto Resoli