#143 – Hanno violato Sophos

Pillole di Bit - A podcast by Francesco Tucci - Lunedì

Categorie:

Si sono portati via un po' di dati dai firewall Sophos ad aprile 2020, facendo un attacco SQL Injection. Come si fa questo tipo di attacco? E soprattutto, come posso difendermi (se è un bug, non troppo, in effetti) Pillole di Bit (https://www.pilloledib.it/) è un podcast indipendente realizzato da Francesco Tucci, se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme: - Telegram (o anche solo il canale dedicato solo ai commenti delle puntate) - TikTok (per ora è un esperimento) - Twitter - BlueSky - Il mio blog personale ilTucci.com - Il mio canale telegram personale Le Cose - Mastodon personale - Mastodon del podcast - la mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio) Rispondo sempre Se questo podcast ti piace, puoi contribuire alla sue realizzazione! Con una donazione diretta: - Singola con Satispay - Singola o ricorrente con Paypal Usando i link sponsorizzati - Con un acquisto su Amazon (accedi a questo link e metti le cose che vuoi nel carrello) - Attivando uno dei servizi di Ehiweb Se hai donato più di 5€ ricordati di compilare il form per ricevere i gadget! Il sito è gentilmente hostato da ThirdEye (scrivete a domini AT thirdeye.it), un ottimo servizio che vi consiglio caldamente e il podcast è montato con gioia con PODucer, un software per Mac di Alex Raccuglia Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 143 e io sono, come sempre, Francesco. La puntata scorsa abbiamo parlato di un attacco informatico a un sito o a un servizio, che mira a abbatterlo, in modo che non possa più erogare il suo servizio. Un giorno parleremo del non attacco subito dal sito INPS il primo aprile 2020. Esatto, il NON attacco. Esistono degli altri tipi di attacchi, che sono più subdoli e spesso non te ne accorgi, oppure quando te ne accorgi è già troppo tardi. Questo ve lo racconto perché è iniziato tutto con una mail del 25 aprile mattina sulla casella del lavoro. Partiamo dalla parte tecnica, perché non è banale da raccontare, mettetevi comodi. In genere, in un sito web, quando ci sono delle caselle da compilare, quando si preme il pulsante di invio dati, i dati di queste caselle vengono usati per comporre una query che farà qualcosa all’interno del DB sul quale lavora il sito. Un esempio banale è l’accesso. Voi inserite utente e password e fate click su INVIA. Nel tempo che passa dal click a quando vedete la pagina riservata succede più o meno questo i due campi vengono controllati, in modo che non siano scritti male, quindi che non siano vuoti, che non ci siano caratteri strani e che non ci siano scritte cose che potrebbero mandare a pallino la query che viene eseguita. Vengono anche aggiunti i cosiddetti caratteri di escape, che permettono alla query di essere eseguita correttamente. Ad esempio, se nell’utente c’è un apostrofo e lo stesso apostrofo viene usato per costruire la query, delimitando un campo di testo, questo viene modificato in modo da dire alla query “guarda che non è un delimitatore di testo, ma un apostrofo nel testo” Poi la password viene elaborata e ne viene estratto l’hash, che dovrà essere controllato con quello salvato sul DB. Ok, il solito passo indietro. Nei DB dove ci sono utenti e password, nel campo della tabella relativi alla password non viene salvata la password in chiaro, per ovvi motivi di sicurezza: chiunque abbia accesso a quel DB conoscerebbe le password di tutti, che questo sia il DB admin del sistema o un attaccante. Per evitare questa cosa bruttissima, di solito si fa un’operazione matematica, detta hash, che codifica la password in una stringa che non ci assomiglia neanche un po’, che è univoca per quella password e non può essere la stessa per due password diverse e dalla quale non si può tornare indietro e risalire alla password. Per maggior sicurezza, si aggiunge alla password un testo aggiuntivo, detto salt, e si codifica la password con il salt. Quando scelgo la mia password la proced