Chi segue questo sito è già incappato in articoli del sottoscritto in merito: chi scrive mette assieme il pranzo e la cena producendo siti – commercio elettronico, in particolare ma non solo – che hanno bisogno anche di sicurezza informatica.
Un medico sviluppa l’occhio clinico e guardando una persona in faccia spesso sa indovinare quale afflizione ha colpito il poveraccio, magari prima che lui si renda conto di essere malato. Un poliziotto esperto guardandosi in giro sa individuare alcuni malviventi dall’aspetto furtivo e dall’atteggiamento. Quelli come me vedono le falle nella sicurezza.
Nessuna persona per bene passa il suo tempo cercando attivamente di penetrare un sistema informatico e non ci sono magie che permettono di aggiungere difetti di sicurezza dove ne mancavano, come si vede in certi filmacci hollywoodiani. (Del resto è scritto: Se un uomo o una donna sono negromanti o indovini dovranno essere messi a morte; saranno lapidati; il loro sangue ricadrà su di loro. [Levitico, 20-27]).
Capita invece di vedere sbavature che alla maggior parte delle persone fan pensare toh, un piccolo bug, passiamo oltre e a chi si occupa di sicurezza fan drizzare i capelli in testa. Ci si guarda meglio, ecco la falla. Per esempio, questa settimana ho trovato un accesso privo di password al sistema editoriale web del sito della CEI (Conferenza Episcopale Italiana); una particolare conformazione dell’URL di accesso bypassava la normale autenticazione e dava accesso diretto all’editor dei contenuti.
Par proprio che chiunque possa inserire contenuti sul sito chiesacattolica.it.
Vi dirò, se mi fosse capitato con altri siti importanti avrei provato a fare una piccola modifica non significativa per vedere fino a che punto è grave. Qui non ho osato, perché se poi il cardinal Bagnasco ripristina il già soppresso index librorum prohibitorum sono guai. Non temo per me, lo faccio per il bene degli amici di Apogeo, sia chiaro.
Quel che si fa in questi casi è avvisare il titolare del sito o del servizio. Poi, e solo poi, se ne può parlare. Di solito i responsabili la prendono bene e sono anche riconoscenti.
Un anno fa circa ho trovato un problema nella rete dati mobile Vodafone grazie al quale era possibile togliere la cifratura alle email senza che il mittente se ne accorgesse. La cosa più complicata è stata capire chi andava avvisato e contattarlo, una volta ottenuto lo scopo sono stati professionali ed efficaci, hanno tappato il buco e hanno riscritto.
Molto raramente capita qualcuno che se la prende con te come se la colpa di un difetto nel loro sistema fosse tua; magari è il responsabile aziendale alla sicurezza che ha paura di venire cacciato. Comunque vada non si pretendono ricompense, al massimo gratitudine. Perché sta scritto: Il nazireo si raderà il capo consacrato all’ingresso della tenda di convegno, prenderà i capelli del suo capo consacrato e li metterà sul fuoco che è sotto il sacrificio di riconoscenza. [Numeri, 6-18]
La sicurezza non può venire aggiunta a un sistema insicuro. La sicurezza va progettata dentro ciascun prodotto (siti web e non solo) sin dall’inizio. Non fidatevi di chi dice diversamente, perché sta scritto: Quando un cieco guida un altro cieco, tutti e due cadranno in un fosso. [Matteo, 15-14]
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
