Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

Analisi dei dump di Rousseau (Movimento Cinque Stelle) - Parte I: password

0
0
Disclaimer

Questo blog post e' scritto da evariste.gal0is ed Antonio Sanso . Entrambi gli autori non hanno nessuna affiliazione politica ed il post ha l'unico scopo di fornire un'analisi tecnica di parte dei dump relativa alle password.

Riassunto delle puntate precedenti

In data 2 agosto 2017 uno dei coautori di questo blog post ( evariste.gal0is ) ha segnalato

Il sito Rousseau del M5S è vulnerabile, voti e dati personali degli iscritti sono tutti a rischio #Hack5Stelle https://t.co/7KPcFsXFhe

― evariste.gal0is (@evaristegal0is) August 2, 2017

una severa vulnerabilita' (del tipo SQL injection ) che affligeva la piattaforma del Movimento Cinque Stelle chiamata Rousseau : https://rousseau.movimento5stelle.it/ . La sua segnalazione riceve una notevole copertura mediatica e minacce di querela da parte del Movimento Cinque Stelle * (cosa che spinge evariste.gal0is a prendere temporaneamente una pausa). Nel frattempo un black hat hacker che si fa chiamare rogue0 viola nuovamente la piattaforma

@beppe_grillo @casaleggio #NoMoreBullshit , it's too easy play with your votes #DemocraziaDirettaSonoIO https://t.co/yJAeZDzznt #Hack5Stelle https://t.co/zfR1bfpFG2

― rogue0 (@r0gue_0) August 3, 2017

e mette in vendita i dati degli utenti

now for greedy big discount & Lower price at #Rousseau Market! The whole users database at the low price of 0,3 BTC ->PM me ;-) #Hack5Stelle

― rogue0 (@r0gue_0) August 5, 2017

Link agli articoli giornalistici qui e qui .

Ma secondo Di Maio il problema e' la sicurezza informatica dell'Italia (non l'incompetenza di chi ha creato la piattaforma)

I dump e le password

Come detto i dump rilasciati da rogue0 contengono un po' di tutto (nomi, cognomi, date di nascita, indirizzo, e chi piu' ne ha piu' ne metta...) degli iscritti alla piattaforma. In questo post ci concentreremo pero' solo sulle password . Piccola parentesi, a quante pare alcune (o tutte) le password usate su BeppeGrillo.it sono salvate in "chiaro" (aka salvate verbatim nel database)!!! Questo come spiegato qui e' un errore di sicurezza grossolano.

Nel caso di Rousseau non sembra sia il caso che le password siano salvate in "chiaro" (per fortuna) :


Analisi dei dump di Rousseau (Movimento Cinque Stelle) - Parte I: password

Queste password sono chiaramante non in cleartext, ma in che modo sono conservate allora? Visto cosa fatto su BeppeGrillo.it, le speranze che gli autori della piattaforma abbiano adottato delle misure decenti (e.g. bcrypt , Argon2, Scrypt o il piu' classico salt+hash) per la protezione delle password appaiono remote. Ma procediamo....

Citando questo articolo , secondo Riccardo Meggiato il software utilizzato probabilmente per Rousseau si chiama Movabletype . Vediamo se riusciamo a trovare qualche riscontro relativo alle password: https://github.com/movabletype/movabletype/search?utf8=%E2%9C%93&q=salt&type=


Analisi dei dump di Rousseau (Movimento Cinque Stelle) - Parte I: password

Mmmmm diamo un'occhiata a questo file BasicAuthor.pm :


Analisi dei dump di Rousseau (Movimento Cinque Stelle) - Parte I: password

La funzione set_password sembra interessante. Sembra usare SHA1 o SHA512 per conservare le password. Non male direi (benche' non ottimo). Ma sara' cosi per Rousseau ? Prendiamo una password a caso: LViSE5785tkGA

Acqua, mancato, non sembra corrispondere ad un output SHA1 o SHA512.

Forse Riccardo Meggiato

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images