Tu sei qui

Drupalgeddon, imparare dagli hacker

  • Sharebar

Dal 15 ottobre gli hacker sono stati occupati nell'escogitare modi creativi per sfruttare la SQL injection nei siti realizzati con Drupal 7,  annunciata dal security team con la SA-CORE-2014-005. Una settimana è già passata, e gli attacchi sono ancora in corso.

Quanto appena scritto è la traduzione più o meno fedele di quanto si scrive nel blog di Aquia, con il post dal titolo "Learning from hackers a week after the Drupal SQL Injection announcement".

Devo aggiungere che ormai è trascorso quasi un mese dal 15 ottobre 2014, e nonostante tutto  gli hacker continuano a battere il web alla ricerca di siti vulnerabili. Credo infatti, dai sintomi manifestati, che proprio due giorni fa siano riusciti a compromettere un sito di mia conoscenza.

Ciò ha scatenato tutta una serie di polemiche e domande sulla sicurezza di Drupal. Il security team risponde in questo modo alla domanda, nella apposita FAQ:

Is Drupal secure?

All software has security vulnerabilities and Drupal is no exception. In a study by WhiteHat Security, 86% of websites across a variety of platforms both Open Source and proprietary had a serious vulnerability.

Drupal aims to provide a framework with built-in security features that make it easier for site-builders and developers to build a secure website.

Over the years the mix of security issues found in Drupal has changed. The OWASP project lists injection issues such as SQL Injection as the #1 issue based on how often it is found and the risk exposure. By providing rich APIs and developer education, Drupal has reduced the frequency of SQL Injection vulnerabilities.

Per chi masticasse poco l'inglese il senso della citazione è che tutti i software presentano delle vulnerabilità nella sicurezza e che Drupal non è un'eccezione e che l'86% dei siti web, sia realizzati con codice proprietario che open source manifestano delle serie vulnerabilità. Il team giustamente fa anche notare che Drupal ha provveduto in tutti questi anni a ridurre in tutti i modi possibili la possibilità di vulnerabilità di tipo SQL Injection. Ed è senzaltro la sacrosanta verità.

Sarà perchè ad oggi nessuno dei siti che mantengo è stato compromesso, ma ho trovato la questione veramente interessante, tant'è che ho rivangato miei vecchi siti di test sparsi nel web sperando addirittura che fossero stati compromessi da Drupalgeddon per smanettarci un pò!!! Purtroppo, in questo caso devo dire che mi è andata bene...

Mi sono e mi sto documentando in modo alquanto appassionato su questa temibile falla di sicurezza perchè è l'ennesima dimostrazione della micidiale intelligenza e potenza creativa degli hacker.

Vi segnalo quindi alcuni link che ho trovato particolarmente interessanti, tra i quali un video su come tentare di recuperare un sito compromesso da Drupalgeddon ed un modulo con lo stesso nome scaricabile dal sito ufficiale  di Drupal, sviluppato da un simpaticone che lo presenta così:

It is NOT recommended to use this
If you are checking your site for hacks today, you missed the bus by a month and your site is already hacked.

 

How to recover from Drupalgeddon SQL Injection
How to recover from
Drupalgeddon SQL Injection

Per farvi un'idea sulla complessità del caso potete dare un'occhiata all'immagine presente in questa stessa pagina con il diagramma di flusso da applicare. In bocca al lupo!

Link sull'argomento:

N.B. per gli esperti: ho scritto questo post abbastanza velocemente, non biasimatemi se non ho marcato salti di lingua, e/o commesso vari errori nel codice o addirittura di ortografia ;-)

N.B. per gli inesperti: se siete arrivati fino in fondo a questa pagina e non ci avete capito una mazza avete perfettamente ragione. Mi scuso per avervi fatto perdere tempo, magari fate come me, che, vista la tarda ora, mollo tutto ed onde placare la mia componente "nerd" mi darò alla lettura di un simpatico libro di Andrea Camilleri :-)

 

 

Ritratto di Pietro Cappai

About the author

Vivo in Sardegna a Carloforte (CI) sull'Isola di San Pietro. Realizzo siti web dinamici, principalmente utilizzando il cms open source Drupal.