Il case study riguarda la ristrutturazione del sito web di un Comune di grandi dimensioni, in particolare descrive il porting dello stesso all’interno di un sistema di content management professionale. Nell’ambito della computer science, con porting si intende una serie di operazioni atte a modificare un software in modo tale che questo si adatti e possa funzionare in un computing environment differente da quello per il quale era stato originariamente scritto.
Il sito del Comune ha conosciuto negli ultimi anni uno sviluppo simile a quello subito da numerosi altri siti. Infatti, è stato inizialmente realizzato con sole pagine statiche, e successivamente è stato modificato mediante l’utilizzo di sistemi artigianali di content management. Nel 2005 il server del sito, ospitato presso Data Center della società informatica che curava la manutenzione hardware e software, è stato oggetto di un attacco da parte di hacker professionisti. E’ stato necessario circa un mese affinché almeno circa un 50% delle funzionalità del sito fossero recuperate. Infine, in seguito a successivi interventi il sito è stato fornito di un sistema di content management professionale.
Chi scrive si è occupato personalmente della configurazione e manutenzione del server dopo l’attacco, della gestione degli accessi ftp e web, dell’analisi della struttura del sito vecchio, della configurazione degli accessi su FlexCMP, della realizzazione di un centinaio di pagine FlexCMP di tipo statico, della predisposizione per le redazioni decentrate di qualche decina di pagine di tipo più complesso per il porting dei vari sistemi artigianali per la gestione della news, ordinanze e delibere, dell’analisi e realizzazione delle vecchie e nuove applicazioni.
La situazione prima dell’attacco
L’hardware è composto da 2 server, uno di sviluppo e uno di produzione. Il server di produzione, visto il carico elaborativo ha un hardware più potente. Il software installato è essenzialmente lo stesso. L’accesso alla rete pubblica avviene mediante un segmento di rete demilitarizzato (DMZ con piano d’indirizzamento privato) connesso ad un sistema di firewalling perimetrale su hardware Cisco (in modalità failover).
L’accesso al sito è quindi possibile, da rete pubblica, per il protocollo http e per il protocollo ftp (attraverso un gateway in rete interna evidenziato nella architettura di rete). Il dominio risulta in carico al Comune, mentre il dns viene gestito da un provider.
Dal punto di vista gestionale, il sito Internet del Comune è composto da una gruppo di lavoro principale, che ha la responsabilità dei contenuti e degli aggiornamenti del sito per la parte generale istituzionale e laddove non vi siano specifiche esigenze delle varie direzioni o servizi. A loro volta i gruppi secondari decentrati sono autorizzati a creare pagine, statiche o dinamiche, per le direzioni o servizi che, a causa dell’elevata specificità o della necessità di una comunicazione più diretta alla cittadinanza, abbisognano di un aggiornamento costante della loro parte del sito.
L’attacco informatico
L’attacco ha comportato la creazione di un link automatico, all’interno della homepage della Rete Civica, verso contenuti di un sito di chiara natura pornografica e dal potenziale piuttosto “aggressivo” (nei confronti della postazione lavoro remote) vista la presenza di codice malevolo scaricato in totale autonomia (molto probabilmente un troiano RBOT per l’apertura di backdoor).
Analizzando i log del server web si è risaliti alla metodologia. Attraverso gli accessi ftp delle redazioni decentrate avevano inserito delle pagine che permettevano l’upload di file senza il controllo dell’estensione. In tale modo sono stati caricati nel sito delle pagine contenti dei tool che permettevano l’amministrazione attraverso browser del server. Il server violato è stato rimosso dalla rete per lo svolgimento delle indagini.