Risparmia 100€ con il codice BIGADATA100

Big Data Executive | Milano | sabato 30 novembre

Iscriviti
Home
In situ

21 Marzo 2016

In situ

di

Passi da Internet e trovi per combinazione un accesso da amministratore al sito della CEI. Come te la cavi, pellegrino?

Chi segue questo sito è già incappato in articoli del sottoscritto in merito: chi scrive mette assieme il pranzo e la cena producendo siti – commercio elettronico, in particolare ma non solo – che hanno bisogno anche di sicurezza informatica.

Un medico sviluppa l’occhio clinico e guardando una persona in faccia spesso sa indovinare quale afflizione ha colpito il poveraccio, magari prima che lui si renda conto di essere malato. Un poliziotto esperto guardandosi in giro sa individuare alcuni malviventi dall’aspetto furtivo e dall’atteggiamento. Quelli come me vedono le falle nella sicurezza.

Nessuna persona per bene passa il suo tempo cercando attivamente di penetrare un sistema informatico e non ci sono magie che permettono di aggiungere difetti di sicurezza dove ne mancavano, come si vede in certi filmacci hollywoodiani. (Del resto è scritto: Se un uomo o una donna sono negromanti o indovini dovranno essere messi a morte; saranno lapidati; il loro sangue ricadrà su di loro. [Levitico, 20-27]).

Capita invece di vedere sbavature che alla maggior parte delle persone fan pensare toh, un piccolo bug, passiamo oltre e a chi si occupa di sicurezza fan drizzare i capelli in testa. Ci si guarda meglio, ecco la falla. Per esempio, questa settimana ho trovato un accesso privo di password al sistema editoriale web del sito della CEI (Conferenza Episcopale Italiana); una particolare conformazione dell’URL di accesso bypassava la normale autenticazione e dava accesso diretto all’editor dei contenuti.

Il sistema editoriale del sito chiesacattolica.it visto da un intruso.

Par proprio che chiunque possa inserire contenuti sul sito chiesacattolica.it.

Vi dirò, se mi fosse capitato con altri siti importanti avrei provato a fare una piccola modifica non significativa per vedere fino a che punto è grave. Qui non ho osato, perché se poi il cardinal Bagnasco ripristina il già soppresso index librorum prohibitorum sono guai. Non temo per me, lo faccio per il bene degli amici di Apogeo, sia chiaro.

Quel che si fa in questi casi è avvisare il titolare del sito o del servizio. Poi, e solo poi, se ne può parlare. Di solito i responsabili la prendono bene e sono anche riconoscenti.

Un anno fa circa ho trovato un problema nella rete dati mobile Vodafone grazie al quale era possibile togliere la cifratura alle email senza che il mittente se ne accorgesse. La cosa più complicata è stata capire chi andava avvisato e contattarlo, una volta ottenuto lo scopo sono stati professionali ed efficaci, hanno tappato il buco e hanno riscritto.

Molto raramente capita qualcuno che se la prende con te come se la colpa di un difetto nel loro sistema fosse tua; magari è il responsabile aziendale alla sicurezza che ha paura di venire cacciato. Comunque vada non si pretendono ricompense, al massimo gratitudine. Perché sta scritto: Il nazireo si raderà il capo consacrato all’ingresso della tenda di convegno, prenderà i capelli del suo capo consacrato e li metterà sul fuoco che è sotto il sacrificio di riconoscenza. [Numeri, 6-18]

La sicurezza non può venire aggiunta a un sistema insicuro. La sicurezza va progettata dentro ciascun prodotto (siti web e non solo) sin dall’inizio. Non fidatevi di chi dice diversamente, perché sta scritto: Quando un cieco guida un altro cieco, tutti e due cadranno in un fosso. [Matteo, 15-14]

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.