Roma - Può capitare a chiunque di scovare un difetto in un software: quelli dei sistemi operativi sono leggendari ma ci sono anche i difetti nei software con cui
sono realizzate le infrastrutture del web: e anche di questi, soprattutto negli
ultimi tempi, si fa un gran parlare. Così capita che, nelle stesse ore, a
Punto Informatico giungano
tre segnalazioni di altrettanti problemi a siti piuttosto noti. In tutti e tre i casi si tratta di vulnerabilità di media entità, ma abbastanza serie da essere prese subito in considerazione. E in tutti e tre i casi si trattava di
vulnerabilità XSS che, dopo la segnalazione di
Punto Informatico, sono state eliminate in poche ore.
Si trattava del portale
Rosso Alice di Telecom Italia, del sito della
Camera dei Deputati e di una sezione della rete di contatto col pubblico del
Comune di Milano. Tre nomi noti, quindi, che se fossero stati presi di mira da malintenzionati avrebbero potuto
diventare uno strumento molto pericoloso: chi non si fiderebbe di una richiesta giunta dal sito di una istituzione?
Un problema non da poco, ma che non viene sottovalutato: in questo settore non si improvvisa nulla, spiega a
Punto Informatico il direttore Servizi Informativi del Comune di Milano, l'ing.
Alessandro Musumeci: "Per le nostre politiche di sicurezza ci atteniamo al Piano Generale di sviluppo per il quinquennio 2006-11, approvato dal Consiglio Comunale". In passato, racconta, il sito del comune meneghino aveva già incontrato qualche difficoltà: "Ma la soluzione non è diminuire le risorse messe a disposizione, piuttosto bisogna lavorare per rendere i servizi più sicuri".
Un problema non da poco, per una rete che solo all'interno delle strutture comunali conta oltre 10mila computer collegati e che gestisce un traffico sul web che può arrivare a
500mila pagine visitate ogni giorno, attraverso gli oltre 50 servizi a disposizione del cittadino. "Stiamo rivisitando la parte infrastrutturale - spiega il direttore - eliminando quella struttura a macchia di leopardo che metteva in comunicazione tra loro le molteplici isole di cui era composta la rete".
Un'architettura che si esponeva più facilmente ad attacchi esterni anche a causa di una comunicazione insufficiente: "Capitava spesso che alcune porzioni del network fossero attaccate o isolate, e passasse molto tempo prima che qualcuno se ne accorgesse". Ora invece una nuova rete in fibra ottica, in via di ultimazione, tiene
sotto controllo costante tutte le risorse.
"La sicurezza non è una problematica tecnica - spiega Musumeci - bensì organizzativa: non la si può affrontare semplicemente installando l'ultimo antivirus, ma gestendo un cocktail di procedure da implementare e da tenere costantemente aggiornate e sotto controllo". Per questo il Comune ha anche approntato un numero verde di riferimento, attraverso il quale transitano le eventuali segnalazioni di problemi tecnici: gli operatori che rispondono collaborano con i sistemisti e gli admin ad individuare e risolvere le falle,
nel più breve tempo possibile.
E per il
futuro? "Stiamo già lavorando ad una nuova versione del sito, che risponda meglio alle esigenze della città in previsione dell'Expo del 2015": i programmatori sono già al lavoro per aggiornare alcune
webapp seguendo i dettami
ITIL, e "in tutti i nuovi contratti stipulati queste procedure sono alla base di tutti i servizi di autenticazione".