Questo sito contribuisce alla audience di Il Messaggero

Come bucare un sito

di

Finalmente sei riuscito a creare il tuo primo sito Web e, entusiasta della cosa, hai deciso di renderlo subito pubblico. Prima ancora di passare all’azione, però, un dubbio ti assale: e se qualche intenzionato volesse prendersi gioco di te e si impegnasse per distruggere il risultato che, con tanta pazienza, hai raggiunto? Quali sono le tecniche che i criminali informatiche utilizzano per violare l’integrità delle pagine Internet?

Se ti stai ponendo proprio queste domande, allora sappi che ti trovi esattamente nel posto più adatto a fornirti le risposte del caso. Di seguito, infatti, ti spiegherò a grandi linee come bucare un sito, o meglio, ti fornirò un’accurata panoramica riguardo le più comuni tecniche messe in pratica dai criminali informatici, in modo che tu possa metterti in guardia da esse.

Dunque, senza attendere oltre, mettiti bello comodo e leggi con attenzione tutto quanto ho da dirti sull’argomento: sono sicuro che, al termine della lettura di questa guida, sarai ben consapevole dei rischi che corri e degli accorgimenti da prendere, per mettere in sicurezza il tuo lavoro. Detto ciò, non mi resta altro da fare, se non augurarti buona lettura e farti un grosso in bocca al lupo per tutto!

Indice

Termini utili

Come bucare un sito

Prima di entrare nel vivo di questa guida e di mostrarti alcune delle tecniche utilizzate dai criminali informatici per violare la sicurezza dei siti, ritengo doveroso illustrarti il significato di alcuni termini che utilizzerò nel corso di questa guida.

  • Bug – si tratta del termine tecnico per definire un errore di programmazione di un software. Non sempre i bug dei programmi e delle app riguardano la sicurezza, tuttavia non è raro imbattersi in problemi di questo tipo. In genere, i bug vengono risolti dagli aggiornamenti.
  • Exploit – è il termine che identifica un programma progettato con il preciso intento di sfruttare un bug a vantaggio del criminale.
  • 0-day – con questa parola si definiscono gli exploit “nuovi”, non ancora noti alle software house di sicurezza, né ai progettisti dei software coinvolti.
  • Patch – è la soluzione rilasciata dai programmatori per risolvere un bug. Solitamente, le patch vengono rilasciate sotto forma di aggiornamento ma, in alcuni casi, possono essere applicate manualmente.
  • Backdoor – letteralmente “porta sul retro”, si tratta di un canale d’acceso che i criminali informatici lasciano aperto, in modo da accedere al server in maniera silenziosa e indisturbata.
  • Deface – è la pratica attuata dai criminali informatici per violare un sito e stravolgerne la home page e/o l’intero contenuto.
  • CMS – sta per Content Management System e identifica un set di programmi che consentono di semplificare in modo notevole la realizzazione di contenuti dinamici (ad es. i siti Web).
  • Firewall – è un sistema che protegge i dati in transito da e verso gli apparecchi informatici (server, PC, router, smartphone, tablet e così via). Può essere di tipo software o hardware.

Come bucare un sito Web

Le tecniche utilizzate dai criminali informatici per bucare un sito Web sono molteplici e, molto spesso, richiedono un profondo studio del “bersaglio”. Pertanto, hackerare un sito non è un’operazione semplice né immediata e, nella maggior parte dei casi, il successo dei criminali informatici è diretta conseguenza di qualche disattenzione di chi gestisce il sito, o di chi ospita le macchine sul quale esso è eseguito.

Nelle parti successive di questo tutorial, ti elencherò alcune delle più conosciute tecniche di violazione dai criminali informatici in modalità remota, cioè senza avere accesso fisico alla macchina che ospita il server (cosa che, all’atto pratico, non capita quasi mai).

Vulnerabilità del server

Come bucare un sito

Come tutto quanto gira intorno all’informatica, anche i siti Web sono composti da file, che vengono generati e gestiti da una serie di programmi in esecuzione su un computer (nel caso specifico, da un server Web).

In genere, un server esegue svariate decine di software contemporaneamente e scambia continuamente dati con il mondo esterno: per questo motivo, è sufficiente un bug in uno degli applicativi in esecuzione per mettere a rischio l’integrità del server stesso, e dei dati che vi vengono ospitati.

In genere, le vulnerabilità più sfruttate riguardano il sistema operativo in esecuzione sul server, i suoi componenti principali o, qualche volta, i driver di periferica dell’hardware. Progettare l’attacco verso un server è abbastanza complesso: per analizzare i software in esecuzione e gli eventuali bug presenti negli stessi, è necessario bypassare le restrizioni di sicurezza imposte dal firewall e degli eventuali meccanismi di protezione aggiuntivi.

Qualora il server dovesse venir effettivamente violato, mediante un exploit o uno 0-day, è spesso possibile forzare l’esecuzione di codice arbitrario, che potrebbe coinvolgere il sito Web ospitato, creare una backdoor dedicata agli accessi futuri, o effettuare altre operazioni di questo tipo. Nei casi più gravi, si potrebbe inoltre assistere a un’autentica fuga di dati.

Come difendersi? Sfortunatamente, i bug dei sistemi operativi sono abbastanza frequenti; è pur vero che, nella maggior parte dei casi, gli sviluppatori si impegnano per rilasciare aggiornamenti che possano correggerli tempestivamente. Pertanto, il mio consiglio è quello di aggiornare sempre il sistema operativo all’ultima versione disponibile o, quantomeno, di applicare tempestivamente le patch di sicurezza distribuite dagli sviluppatori.

Vulnerabilità dei componenti installati

Come bucare un sito

Lo stesso discorso visto poco fa è valido non soltanto per il sistema operativo a bordo di un server Web, ma anche per tutti gli altri programmi installati sulla macchina: un bug in un software qualsiasi (anche nel gestore del database!) potrebbe essere sufficiente per permettere a un criminale informatico di prendere il controllo del programma stesso, dei file/cartelle inerenti il sito Web o, peggio ancora, dell’intero server.

Come difendersi? Anche in questo caso, il mio consiglio è di tenere costantemente aggiornato il parco software del server, applicando inoltre, il prima possibile, le eventuali patch di sicurezza rilasciate degli sviluppatori.

Vulnerabilità dei sistemi di autenticazione

Come bucare un sito

Altro serio problema riguarda i sistemi di autenticazione in uso per i vari siti Web: può capitare che un protocollo obsoleto, un algoritmo di cifratura violato o, ancora, uno scambio di password in modalità non protetta, possa consentire a un criminale informatico di acquisire la proprietà dell’account di amministrazione del portale o, peggio ancora, di tutti i dati presenti sul database e/o nella cartella del sito Web.

Solitamente, questa tecnica d’attacco ha come diretta conseguenza il deface del portale Web, ossia lo stravolgimento completo dei contenuti della pagina principale o delle altre pagine presenti sul sito. Qualora il sistema di gestione del sito consentisse, tramite la relativa interfaccia, di visualizzare i dati salvati in memoria, un criminale potrebbe avere libero accesso anche a questi ultimi.

Come difendersi? In primo luogo, è assolutamente fondamentale proteggere i dati in transito da e per il sito Web con cifratura SSL, configurando il server per l’utilizzo del protocollo di connessione sicura HTTPS. In secondo luogo, qualora il sito contenga pagine di login, è opportuno verificare che esse funzionino in modo corretto e che il relativo codice non dia luogo a eventi inattesi, che potrebbero mettere in pericolo l’integrità del sito.

Infine, naturalmente, occorre proteggere tutti gli accessi al sito con delle password sicure e difficili da indovinare, ma su questo non credo ci sia bisogno di dire molto: dovrebbe essere proprio l’abc della vita sul Web.

Vulnerabilità di CMS e plugin

come bucare un sito WordPress

Numerosi siti Web esistenti in Rete vengono realizzati mediante CMS, ossia attraverso dei sistemi che consentono di creare, aggiornare, manipolare e gestire portali semplici e complessi, senza bisogno di scrivere manualmente il codice di ogni singola pagina, ad esempio il famosissimo WordPress.

Anche i CMS sono programmi e, purtroppo, possono essere soggetti a bug e malfunzionamenti di vario tipo. In particolare, i problemi di sicurezza dei CMS open source vengono molto spesso resi noti alla comunità: se ciò, da un lato, aiuta gli sviluppatori a realizzare patch di sicurezza nel modo più rapido ed efficace possibile, dall’altra parte aiuta i criminali informatici a realizzare exploit e 0-day specifici per un dato bug.

Sfortunatamente, questi exploit vengono solitamente utilizzati (con successo) su tutti quei siti realizzati mediante CMS non aggiornati, con tutte le ovvie conseguenze del caso. Dunque, se ti la tua intenzione era quella di capire come bucare un sito WordPress o qualsiasi altro portale realizzato attraverso un CMS, la risposta è presto data: basta analizzare la versione del CMS in uso e fare una piccola ricerca in Rete riguardo le vulnerabilità attive. Un pizzico di esperienza e un bel po’ di pazienza potrebbero fare il resto!

Lo stesso discorso vale per i plugin installati nei vari CMS: un bug all’interno di un componente aggiuntivo potrebbe compromettere la stabilità dell’intero sito e del relativo sistema di gestione, anche se quest’ultimo è, nativamente, esente da bug.

Come difendersi? Anche in questo caso, aggiornamento è la parola chiave: se si gestisce un sito Web, è molto importante essere ben consapevoli delle sue modalità di realizzazione, del CMS in uso e degli eventuali plugin installati, e di informarsi costantemente sull’integrità di questi componenti. In tal modo, è possibile rendersi conto di eventuali vulnerabilità prima ancora che i criminali inizino a sfruttarle, applicando gli aggiornamenti e le patch necessarie nel più breve tempo possibile.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.