Attacco a Wind, parla l'azienda

Hacking: Nikk 23 Dicembre 04 @ 19:00 pm

Wind ha contattato Punto informatico, desiderando spiegare che cosa è successo durante l'attacco subito due giorni fa. Ne è nata un'intervista a Paolo Huscher, Responsabile Sviluppo Servizi, Sistemi e Piattaforme di Wind. La sua versione dei fatti appare in parte diversa da quella riportata nel nostro articolo. In ogni caso, non è finita qui: il caso potrebbe avere uno strascico penale.

Punto Informatico: Partiamo da qui: che cosa è successo ai vostri siti?
PH: Chiariamo subito una cosa: solo Wind.it è stato colpito dal defacement; non Libero né Digiland, a differenza di quanto riportato nel vostro articolo. Tra l'altro, solo una macchina è stata colpita e ne avevamo altre in linea. Il 50 per cento degli utenti ha quindi visto Wind.it senza il defacement.

PI: Eppure il forum di Digiland risultava "in manutenzione"
PH: Sì, ma era una misura preventiva. Andiamo con ordine: l'attacco c'è stato sabato notte, alle 22.50. Ce ne siamo accorti dopo cinque minuti circa.

PI: Ma com'è stato possibile bucare le vostre difese?
PH: Il defacer ha sfruttato una vulnerabilità del Php Forum, attraverso la quale ha scaricato un pezzo di codice con cui ha preso possesso della macchina. Per questo motivo, nell'attesa della patch, abbiamo messo offline il forum di Digiland.

PI: Quali piattaforme usate, insieme con il Php? Apache?
PH: Sì, anche, ma preferisco non scendere nei dettagli.

PI: Va bene, ma perché la vulnerabilità non era già coperta da patch?
PH: I nostri fornitori non ce l'avevano data. Ora, ovviamente, l'abbiamo trovata e applicata.

PI: Tutta colpa dei fornitori, quindi?
PH: Non posso dire questo, né voglio dire chi siano.

PI: Comunque, questa distrazione che danni ha portato a Wind?
PH: Solo d'immagine. Il defacer non ha avuto il tempo di fare nulla di grave, sulla nostra macchina. Ce ne siamo accorti subito, infatti, e abbiamo monitorato la situazione: non gli avremmo permesso di fare danni. Ripeto: nessun dato è stato trafugato.

PI: Com'è stato possibile accorgersi subito del defacement, a quell'ora del sabato?
PH: Abbiamo presidi di tecnici sempre presenti, circa una dozzina in contemporanea. I nostri sistemi, inoltre, sono scattati subito: lanciano un allarme, appena si accorgono di attività anomale. In questo caso, si attivano altri tecnici di emergenza, oltre a quelli del presidio.

PI: Come funzionano questi allarmi?
PH: Posso dirti soltanto che usiamo, oltre ai normali sistemi di intrusion detection, alcuni fatti in casa, da noi, in base a quelle che la nostra esperienza ci ha insegnato a riconoscere come attività anormali.

PI: Gli allarmi però servono a curare, non a prevenire. Che cosa farete per evitare che accada di nuovo?
PH: Non abbiamo già un piano di azione. Però cercheremo di essere più attenti alle patch disponibili. Avremmo potuto accorgerci della vulnerabilità presenti e quindi chiudere il forum o cercare la patch con maggiore insistenza. Considera che i nostri siti ricevono migliaia di attacchi al giorno. Sono molto ambiti tra i pirati e non è facile chiudere tutti gli spifferi...

PI: E adesso, che cosa farete contro il defacer? Dimenticherete l'accaduto?
PH: Niente affatto: partirà un'azione legale. Forse è stata solo una bravata, forse no; certo è che non è stata un'azione corretta nei nostri confronti. Perseguiremo quindi il defacer, poiché abbiamo tutti gli elementi per rintracciarlo. Sappiamo che è italiano. Non posso dirti altro, per ora.

Tratto da Punto-Informatico