Questo blog post e' scritto da evariste.gal0is ed Antonio Sanso . Entrambi gli autori non hanno nessuna affiliazione politica ed il post ha l'unico scopo di fornire un'analisi tecnica di parte dei dump relativa alle password.
Riassunto delle puntate precedentiIn data 2 agosto 2017 uno dei coautori di questo blog post ( evariste.gal0is ) ha segnalato
Il sito Rousseau del M5S è vulnerabile, voti e dati personali degli iscritti sono tutti a rischio #Hack5Stelle https://t.co/7KPcFsXFhe
― evariste.gal0is (@evaristegal0is) August 2, 2017una severa vulnerabilita' (del tipo SQL injection ) che affligeva la piattaforma del Movimento Cinque Stelle chiamata Rousseau : https://rousseau.movimento5stelle.it/ . La sua segnalazione riceve una notevole copertura mediatica e minacce di querela da parte del Movimento Cinque Stelle * (cosa che spinge evariste.gal0is a prendere temporaneamente una pausa). Nel frattempo un black hat hacker che si fa chiamare rogue0 viola nuovamente la piattaforma
@beppe_grillo @casaleggio #NoMoreBullshit , it's too easy play with your votes #DemocraziaDirettaSonoIO https://t.co/yJAeZDzznt #Hack5Stelle https://t.co/zfR1bfpFG2
― rogue0 (@r0gue_0) August 3, 2017e mette in vendita i dati degli utenti
now for greedy big discount & Lower price at #Rousseau Market! The whole users database at the low price of 0,3 BTC ->PM me ;-) #Hack5Stelle
― rogue0 (@r0gue_0) August 5, 2017Link agli articoli giornalistici qui e qui .
Ma secondo Di Maio il problema e' la sicurezza informatica dell'Italia (non l'incompetenza di chi ha creato la piattaforma)
I dump e le passwordCome detto i dump rilasciati da rogue0 contengono un po' di tutto (nomi, cognomi, date di nascita, indirizzo, e chi piu' ne ha piu' ne metta...) degli iscritti alla piattaforma. In questo post ci concentreremo pero' solo sulle password . Piccola parentesi, a quante pare alcune (o tutte) le password usate su BeppeGrillo.it sono salvate in "chiaro" (aka salvate verbatim nel database)!!! Questo come spiegato qui e' un errore di sicurezza grossolano.
Nel caso di Rousseau non sembra sia il caso che le password siano salvate in "chiaro" (per fortuna) :
Queste password sono chiaramante non in cleartext, ma in che modo sono conservate allora? Visto cosa fatto su BeppeGrillo.it, le speranze che gli autori della piattaforma abbiano adottato delle misure decenti (e.g. bcrypt , Argon2, Scrypt o il piu' classico salt+hash) per la protezione delle password appaiono remote. Ma procediamo....
Citando questo articolo , secondo Riccardo Meggiato il software utilizzato probabilmente per Rousseau si chiama Movabletype . Vediamo se riusciamo a trovare qualche riscontro relativo alle password: https://github.com/movabletype/movabletype/search?utf8=%E2%9C%93&q=salt&type=
Mmmmm diamo un'occhiata a questo file BasicAuthor.pm :
La funzione set_password sembra interessante. Sembra usare SHA1 o SHA512 per conservare le password. Non male direi (benche' non ottimo). Ma sara' cosi per Rousseau ? Prendiamo una password a caso: LViSE5785tkGA
Acqua, mancato, non sembra corrispondere ad un output SHA1 o SHA512.
Forse Riccardo Meggiato