Defacing, questo conosciuto!
Sabato 16 un gruppo di hacker ha attaccato il sito del Tribunale di Milano e quello della polizia postale effettuando un'azione di defacing.
San Google, o Maledetto Google, a seconda dei casi. È un po' la storia del coltello, della pistola, del fucile, finanche del missile terra-aria, che a seconda del contesto di utilizzo può risolvere o creare (tanti) problemi.
Sabato 16 u.s., come noto, un gruppo di hacker ha attaccato il sito del Tribunale di Milano (e pare anche quello della polizia postale) effettuando un'efficace azione di defacing. Hanno sostituito la homepage ufficiale con una alternativa inneggiante nientepopodimeno che all'apocalisse o, per meglio dire, a una non meglio specificata fine per un nuovo inizio. Come se le dimissioni del Papa, nella stessa settimana, non fossero già abbastanza!
Nel momento in cui scrivo - domenica 17 pomeriggio - la pagina sfacciata è stata già rimossa, ma il sito originario non è ancora ripristinato... in attesa di accertamenti, sembrerebbe, tuttora in corso. Digitando infatti www.tribunale.milano.it al momento compare una (poco) rassicurante scritta che recita, copio & incollo, «Per motivi tecnici il sito è momentaneamente indisponibile. Ci scusiamo per il disagio.» È facile che già nelle prossime ore, al più nella giornata di domani (lunedì 18) il sito venga ripristinato in tutto il suo splendore, si spera rafforzato per quel che riguarda le mere questioni di sicurezza. Che evidentemente sono state sottovalutate fino a questo momento. Capita... (troppo spesso!)
San Google!
Se devo essere sincero - e spesso, non sempre... :-) lo sono! - considero Google come una sorta di santo protettore (digitale). A lui mi rivolgo, come miliardi di individui nel mondo, svariate volte al giorno anche per fugare il ben che minimo dubbio. Finanche - qui lo dico e qui lo nego! - quando o dubbi su come si scrive una determinata parola. La inserisco come mi viene e valuto il risultato sotto il profilo prevalentemente numerico: se esistono tante pagine in cui compare scritto in quel modo, magari centinaia di migliaia, è assai probabile che sia proprio quello il modo giusto di scriverlo. Molto spesso, si sa, è direttamente Google a mettere automaticamente la questione nei giusti termini: provate a cercare scecspir e vedrete come San Google, dotato della diligenza di buon padre di famiglia, e senza nemmeno mortificarci più di tanto..., ci cerca Shakespeare tirandoci fuori da ogni, presumibile, complesso di inferiorità.
Ma c'è un'altra funzione secondaria che spesso viene sottovalutata, quella della cosiddetta copia cache, ovvero della possibilità di visualizzare la pagina immagazzinata nei server di Google che, a seguito di aggiornamenti, non è detto che corrisponda a quella correntemente online. Così, se non avete fatto in tempo a vedere il Tribunale di Milano craccato possiamo - ancora per un po' di ore - recuperare la pagina in questione sui server di BigG, con questo semplicissimo procedimento, schematizzato nella illustrazione. Inserite nella casella di ricerca la stringa LndTm 2013 (il nome degli hacker in questione), trovate il documento con con questo nome riferito al sito del Tribunale di Milano (nella schermata la seconda voce in elenco), aprite l'anteprima della pagina cliccando sulle virgolette caporale (») rivolte a destra accanto al risultato in questione e poi su copia cache. Vedrete la pagina originaria hackerata, che non è certo sfuggita a San Google.
Non c'è più? Niente paura: ho messo da parte una copia locale (ho semplicemente fatto un salva con nome - peraltro per sempre! - disponibile qui) sperando di non passare qualche guaio per questo! Eventualmente... venitemi a trovare a Rebibbia, ve ne sarò mooolto grato! :-)))
Maledetto (?) Google!
Io però, a questo punto, un sassolino dalla scarpa me lo voglio togliere. È mai possibile che sul Web, e finanche su YouTube, sono facilmente trovabili dettagliatissime guide per praticare il defacing, peraltro perseguibile penalmente praticamente nelle legislazioni di tutto il mondo??? Il nostro codice penale - e molte guide sono redatte proprio in italiano! - non dà molto spazio a interpretazioni:
Art. 615 Ter - ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO: Chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la pena della reclusione fino a tre anni.
Art. 635 bis - DANNEGGIAMENTO DI SISTEMI INFORMATICI E TELEMATICI: Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
... e qui mi fermo perché di certo non sono un avvocato, né mi piace più di tanto averci a che fare!
Eppure, se su Google si digita guida defacing vengono fuori più di ventimila risultati, ovviamente non tutti riferibili esattamente all'argomento cercato, ma questo basta e avanza per farmi pensare (ma va?!?) che ci sia qualcosa che non quadri in questo pazzo, pazzo, mondo del web. Stesso ragionamento per YouTube i cui contributori, come noto, non conoscono vergogna...
Vero è che molte guide sono piuttosto datate, quindi presumibilmente contengono informazioni non più valide a seguito degli aggiornamenti sulla sicurezza che chi gestisce un sito dinamico dovrebbe sempre applicare con cura. Magari con la stessa diligenza di buon padre di famiglia prima citata, che forse al Tribunale di Milano non hanno costantemente applicato...
Ma quel che forse è ancora più grave - seppur non so dire da quale punto di vista - è che comunque grazie a Google (che non sto certo criminalizzando!) è possibile trovare le istruzioni per individuare (ancora con Google) i siti vulnerabili, ovvero quelli in cui un eventuale attacco ha maggiore probabilità di successo. Per non parlare, e chiudo - che è meglio! - delle utility specifiche, appositamente realizzate e liberamente distribuite in Rete, per concretizzare l'attacco in poche mosse... e senza nemmeno sporcarsi le mani col codice.
Ma in che mondo viviamo?!?