Cosa devono risolvere e rimuovere da Beppegrillo.it per la loro sicurezza

Non è un mistero che il Blog di Beppe Grillo sia gestito da un Content management system di nome Movable Type, il quale compare nei messaggi di errore tipo quelli per il cambio della password come possiamo vedere qui sotto:

La pagina di errore inserendo un finto utente e una password inventata

Provare per credere, potete sempre andare nella pagina di errore http://www.beppegrillo.it/cgi-bin/mt-add-subscription.cgi.

 

Il file mt-check.cgi da rimuovere

Un malintenzionato  andrebbe a controllare il tipo di CMS utilizzato per studiarne le vulnerabilità. Non solo, leggendo la documentazione potrebbe trovare un file utile per effettuare un check dell’installazione:

Viewing the mt-check.cgi script is the easiest way to check the details of the server environment to determine if the prerequisites libraries/modules are present such that Movable Type can be installed.

Se cerchiamo con Google “beppegrillo.it mt-check.cgi” troviamo il file relativo:

Il file è rintracciabile tramite ricerca Google

A questo punto il malintenzionato potrebbe scoprire anche la versione di Movable Type e cercare informazioni utili altrove sulle falle di sicurezza soprattutto se si tratta di una versione antiquata e non aggiornata. Questo è quanto spiega anche il sito Tenable.com in merito alla sicurezza del CMS:

The Movable Type installation on the remote web server is leaking information via mt-check.cgi. This CGI determines if the Perl modules required by Movable Type are installed, and is only intended to be used prior to installation. It discloses path information, operating system type, Perl version, and the versions of several Perl modules. A remote attacker could use this information to mount further attacks.

Primo passo, quindi, è rimuovere questo file.

 

Le password in chiaro e il loro recupero

Dopo aver cambiato la mia password ho provato a richiederla per verificare i sistemi di recupero e la relativa sicurezza. Sorge già un problema, perché la password viene inviata in chiaro via email:

L’email che ho ricevuto con la password in chiaro

La documentazione online di Movable Type riporta un altro sistema di recupero, sinceramente più efficace in termini di sicurezza, inviando un link all’utente con il quale accedere al sito in una pagina utile a impostare una nuova password:

Il metodo di recupero previsto dalla versione 4.24 in poi

Nella documentazione relativa al recupero password è ben specificato che questa tecnica di recupero è prevista da una determinata versione del CMS in avanti, ciò ci fa comprendere che l’attuale presente su Beppegrillo.it è precedente:

With the new Password Recovery flow in Movable Type 4.24 and above, users can reset their MT password by simply verifying their email address.

Sarebbe meglio porre rimedio, passando ad una versione superiore e più aggiornata del CMS e senza diffondere via email le password degli utenti in chiaro. Oppure cambiare CMS, ma potrebbe comportare un costo in termini di server per via delle prestazioni.

Ovviamente tutto ciò dovrebbe avvenire una volta colmata la mancanza del protocollo di sicurezza HTTPS.

Valuterò se continuare ad aggiornare questo articolo con ulteriori suggerimenti. Nel frattempo questi già necessitano di tanto lavoro.

David Puente

Nato a Merida (Venezuela), vive in Italia dall’età di 7 anni. Laureato presso l’Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.

REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.