Sicurezza online, danni e beffe
Importanti siti web cadono vittima di vulnerabilità laddove dovrebbero avere le difese più forti, società di sicurezza dispensano consigli sui nuovi rischi del cloud computing mentre gestiscono portali-colabrodo
Qual è il colmo per un sito come MySQL.com, "casa"
telematica di uno dei componenti fondamentali della pila LAMP? Probabilmente cadere vittima di un attacco di SQL
injection al database, con tanto di estrazione delle
password di accesso e hacking finale. Gli autori dell'attacco? Un duo di smanettoni romeni "grey-hat" noti come "TinKode" e "Ne0h" suslacker.ro.
I due hanno individuato la vulnerabilità su mysql.com e sun.com, estratto gli hash dei nomi utenti e delle password contenute nei database dei
siti, confrontato i suddetti hash con larainbow table e infine "indovinato" varie credenziali di accesso fra cui
quella del direttore di prodotto per WordPress presso MySQL - in questo caso la passoword era un banale numero a quattro cifre.
Il nuovo attacco contro mysql.com mette ancora una volta in cattiva
luce la gestione della sicurezza da parte di Oracle, visto che il sito è notoriamente vulnerabile ad attacchi Cross-Site-Scripting (XSS) già da alcuni
mesi.
Il colmo per la (in)sicurezza in rete
raggiunge vette di involontario sadismo quando a cadere vittima degli attacchi è la storica security enterprise McAfee. La società, recentemente acquisita da Intel al prezzo di svariati miliardi di dollari, gestisce un sito web tutto pieno di buchi. McAfee conferma, dice di essere al lavoro per chiudere le vulnerabilità individuate dallo YGN Ethical Hacker Group e garantisce comunque sulla salvaguardia delle informazioni di
"clienti, partner e aziende".
E mentre gli hacker aprono spifferi nel sito corporate, McAfee trova il tempo di lanciare l'allarme sul
crescente interesse dei cyber-criminali per i colossi
dell'IT del mondo. Con il crescere
dell'importanza della gestione "terza" di dati, informazioni e database, avverte McAfee, i malware writer accrescono il loro interesse verso le mega-corporation (Google, Amazon, Apple, Microsoft,...) che quei dati li conservano e gestiscono sui propri server.