Dopo aver riportato alcune testimonianze riguardanti il defacement a carico di siti Web realizzati con Joomla, segnalo ora un breve ma interessante post riguardante un attacco molto simile a carico di un altro CMS (stretto parente di Joomla), Mambo.
L'articolo è intitolato non a caso "Un tranquillo weekend di defacement", infatti l'attacco è avvenuto durante un fine settimana, quando si suppone che il numero di persone preposte a vegliare sulla sicurezza dei server sia più risicato.
La segnalazione dell'attacco è avvenuta tramite SMS, l'admin che gestisce un servizio di hosting ha quindi dovuto controllare l'entità del problema e scoprire che il suo server era stato bucato:
che vuol dire? che sono un cattivo admin? certo che no! il problema è nato da un sito, che installa il Mambo server, uno dei suoi componenti non essendo aggiornato è stato violato. Il componente è il comm_zoom, non è la prima volta che accade.
La domanda che si pone l'autore è più che corretta, ma la risposta è abbastanza semplice: l'admin di un server Web non può controllare ogni azione svolta dai webmaster dei siti ospitati, quindi ad un defacement riuscito non corrisponde necessariamente un admin pelandrone o incapace:
Ora io mi chiedo e dico, posso essere l'admin più bravo di tutto il mondo internet ma se uno solo dei siti che c'è all'interno del mio server è bucabile, sicuramente verrà prima o poi bucato se nessuno patcha gli script.
Ancora una volta si pone il problema relativo alla sicurezza delle estensioni di terze parti; Mambo come altri Content Manager diffusi è una soluzione abbastanza sicura, le applicazioni prodotte al di fuori dello sviluppo del core possono invece presentare errori anche gravi di scripting tanto da abbassare notevolmente il livello di sicurezza generale dell'intero CMS.
Ora non dico che si debba abbandonare per questo motivo l'utilizzo dei CMS in favore dello sviluppo "from scratch", questa è infatti la scelta dell'autore:
Ecco perchè non installo wordpress o phpnuke o qualche altro script già fatto, preferisco sempre costruirmi io il mio CMS, farlo hardcoded, di modo che sia perlomeno più difficile bucarlo.
Ma se proprio si preferisce utilizzare soluzioni già pronte un minimo di attenzione è sempre consigliabile.