Marco Anselmi

dottore in ingegneria elettronica e delle telecomunicazioni

via abruzzi, 3/b
60015 Falconara M. (AN)

A Istituto Campana
PER L’ISTRUZIONE PERMANENTE
Amministrazione: Piazza Dante, 4 –
60027 OSIMO (AN)

Il Sottoscritto Marco Anselmi, dottore in ingegneria elettronica e delle telecomunicazioni,

avendo ricevuto in data 1/10/2020 dall'Istituto Campana per l'Istruzione Permanente
(committente) incarico per una consulenza riguardante la funzionalitá e la sicurezza del sito
http://www.archiviostoricocampana.com/​ presenta la seguente relazione.

Il sito in oggetto é realizzato con il CMS AToM (Access to Memory - ​"applicazione web open
source per la descrizione archivistica basata sugli standard e per l'accesso in un ambiente
multilingue e multi-archivio"​)​ e
​ contiene le scansioni di documenti relativi all'archivio storico
Campana organizzate secondo criteri archivistici e ricercabili con diverse chiavi.

Il sito non é ospitato su di un normale servizio di hosting ma su di un VPS (Virtual Private

Server) fornito dal servizio "Aruba Cloud Server", denominato "campana" di dimensione
"smart"

Screenshot della pagina di gestione aruba cloud

sul quale é installato il sistema operativo Ubuntu Server 16.04 LTS 64bit,vista la dimensione
della RAM e la potenza di calcolo installata questo server é idoneo a supportare il CMS
AtoM e ​potenzialmente anche altri programmi​.
L'intestatario del server VPS risulta essere il committente.

Il committente mi fornisce le credenziali di accesso a:

● back end del sito ​www.archiviostoricocampana.it
● pannello di controllo cloud aruba

mentre non é fornita la password dell'utente root del sistema operativo in esecuzione
sul server essendo questa sconosciuta al committente stesso. ​Questa password non è
neanche recuperabile tramite il servizio di assistenza Aruba che interrogato in merito
risponde:
"Non è possibile recuperare e/o cambiare password di accesso per le proprie macchine
virtuali. La password è scelta dall'utente e salvata nel Cloud Server creato, quindi non è
conosciuta né recuperabile dal servizio di assistenza di Aruba Cloud."

Verifica della funzionalitá

Ad una verifica del "front end" del sito Il motore di ricerca interno non risulta funzionare
correttamente: ad ogni ricerca é restituita la stringa "Nessun risultato trovato.", come se una
tabella di indicizzazione del database non risultasse correttamente popolata.

Risultato di qualunque ricerca

Stesso risultato si ottiene da tutte le voci di navigazione del sito che dovrebbero permettere
di navigare il database tramite gli indici principali.

Link diretti agli indici del database

Il committente riferisce che queste tutte funzioni risultavano sicuramente funzionanti
prima del 17 settembre 2020 ​avendo consultato il portale per la ricerca di documenti
richiesti da uno studioso.

Riferendosi invece ai link diretti forniti nella area "link piu popolari:" presente nella home
page, che non invoca alcuna funzione di ricerca ma punta direttamente a pagine individuate
da link espliciti i materiali contenuti risultano presenti ed ordinati e navigabili, organizzati con
un menú collassabile.

Link diretti a record del database

Il sito non é quindi in condizioni di funzionamento corretto: i contenuti sono presenti ma le

funzioni di ricerca non sono operative rendendo molto macchinoso il reperimento delle
informazioni in esso contenute.

Analisi da back end

Accedendo alla amministrazione del sito con la password fornita dal committente si possono
utilizzare le funzioni di amministrazione dello stesso.

menu di amministrazione di AtoM

l'utente fornito é un Amministratore del CMS e quindi é possibile conoscere l'elenco di tutti
gli Utenti presenti ed i rispettivi ruoli.

Elenco degli utenti e loro ruolo al 2 ottobre 2020

Verifica della cronologia degli accessi

Una verifica della cronologia degli access al CMS AtoM non é immediatamente disponibile,
si puó comunque controllare l'esecuzione di eventuali comandi e l'utente che li ha avviati
tramite il menú gestisci - operazioni:

elenco degli ultimi 5 comandi presenti al 2 ottobre 2020

Gli ultimi due comandi risultano lanciati il 21 settembre 2020 dall'utente Command
Line: ​questo utente, non presente nell'elenco degli utenti riportato nella figura precedente,
non é tra quelli immediatamente identificabili.

Dal manuale di riferimento del CMS AtoM ( https://www.accesstomemory.org/it/docs/2.6/ ) si

verifica trattarsi di un comando fornito al programma CMS dall'esterno, ovvero dalla riga di
comando del sistema operativo all'interno del quale la applicazione del CMS é eseguita.
L'unico accesso disponibile per effettuare questa operazione él'utente root del cloud server,
delle cui credenziali il committente non é in possesso e Aruba non consente il recupero se
non cancellando completamente il contenuto del VPS stesso.
Si osserva che tramite queste credenziali é possibile installare qualunque tipo di software e
farlo agire su internet su di una macchina che risulta nella disponibilitá del committente.

Conclusioni

Alla luce della verifica condotta:

Non é possibile asserire in modo certo se il malfunzionamento sia dovuto ad un errore del
CMS o ad una manovra erronea, piú o meno volontaria, di un operatore;

In data 21 settembre 2020, un operatore sconosciuto é acceduto al VPS con le credenziali di

root per eseguire un comando che permette di generare un report di dati contenuti nel sito ,
quindi un comando non in grado di produrre danno.

Si consiglia comunque di recuperare le credenziali di root del VPS, cambiarle e custodirle

con cura in quanto tramite queste é possibile installare sul server virtuale VPS un qualunque
software anche dannoso, senza che il responsabile del VPS (Istituto Campana per
l'Istruzione Permanente) ne abbia contezza esponendolo a responsabilitá impreviste.

Falconara 7 ottobre 2020

Il tecnico
Marco Anselmi