Luca Annunziata

Acque agitate attorno a Expo 2015

L'amministrazione corre ai ripari e risolve un bug che comprometteva la sicurezza del portale. Dalla blogosfera una proposta: lasciateci fare, il sito dell'Expo lo facciamo meglio noi

Roma - Il portale milanoexpo-2015.it realizzato dal Comune di Milano fino a poche ore fa era a rischio sicurezza. Un rischio doppio, visto che sul dominio erano presenti contemporaneamente una vulnerabilità XSS e una SQL injection, potenzialmente in grado di causare seri danni all'integrità delle pagine e del database contenente i dati personali degli utenti iscritti. Un problema che in poche ore, grazie alla segnalazione dello scopritore, è stato risolto.

Il portale del Comune di Milano per l'Expo 2015A rivelarlo a Punto Informatico è Matteo Flora, esperto di sicurezza e bug hunter, che nella giornata di martedì aveva individuato le due falle e le aveva segnalate prontamente ai gestori del sito. Se nel caso del cross-site scripting le conseguenze si sarebbero potute spingere alla injection di codice potenzialmente dannoso sulle pagine del sito, nell'altro caso, trattandosi di una cosiddetta blind SQL injection, secondo Flora si sarebbe potuto "alterare, aggiungere, eliminare contenuti del database, oppure scaricare in toto tutti i contenuti della tabella".

Una delle vulnerabilità del portaleUn problema confermato da Alessandro Musumeci, direttore Servizi Informativi del Comune di Milano, che a Punto Informatico ha spiegato di essere al corrente della questione e ha confermato che i tecnici hanno provveduto a sanare le vulnerabilità: "Sono problemi risolti - ha spiegato Musumeci - Il dominio citato fa parte del sistema informativo del Comune di Milano, e su questo come altri siti stiamo lavorando con l'intento di garantire i servizi al cittadino e ai prossimi visitatori dell'Expo. Un impegno non solo a nome di Milano, ma anche a nome dell'Italia intera".
Non si tratta del primo caso in cui una parte del sistema informatico del capoluogo lombardo risulti vulnerabile a questo tipo di attacchi. "Credo che il 90 per cento dei siti pubblici e di grande aziende abbia questo tipo di problemi - prosegue Musumeci - Quel sito comunque è stato realizzato un anno e mezzo fa ed è assolutamente provvisorio". Il Comune, conferma, è già al lavoro per la sua riprogettazione: "Ora Milano è la città che organizzerà l'Expo2015: il portale di registrazione supporterà il traffico di milioni di visitatori, di migliaia di volontari impegnati nell'organizzazione".

Il tutto si inserirà in un contesto più ampio, nello scenario del cosiddetto Expo Digitale: un programma vasto, di cui esiste già una prima bozza, che vedrà svolgere alla tecnologia - secondo quanto riportato nel documento programmatico - un ruolo molto importante per "essere certi che ogni visita all'Expo fili liscia, garantendo ai visitatori un'esperienza unica e la possibilità di sperimentare la tecnologia più all'avanguardia".

Eppure, dalla blogosfera alcune voci insoddisfatte sollevano qualche critica sull'attuale condizione del portale milanoexpo-2015.it. Capofila della protesta è Marco Camisani Calzolari, esperto di marketing e comunicazione digitale, che dalle pagine del suo sito lancia una proposta: "Perché aspettare di ritrovarci a un secondo ritalia camp quando potremmo proporci sin da ora come realizzatori del sito?". Il riferimento è a quanto accaduto con Italia.it, e il timore è che i fondi stanziati per la realizzazione e manutenzione del sito possano nuovamente non essere utilizzati al meglio.

Il dominio alternativo della blogosferaLa proposta di Camisani Calzolari e degli altri netizen che si sono uniti alla protesta è la creazione di un progetto alternativo da sottoporre al Comune di Milano per la creazione del portale ufficiale dell'Expo. "Nella rete sociale ci sono decine di esperti per ogni aspetto necessario: piattaforme, produzioni multimediali, comunicazione, SEO, grafici, flashisti, programmatori etc. Un sito creato dalla blogosfera italiana sappiamo che sarà un ottimo prodotto, moderno, aperto e sempre aggiornato".

Dalle parole ai fatti. Un nuovo dominio, milano2015.it, è già stato registrato e a tutti è stata offerta la possibilità di collaborare al progetto intervenendo su un forum di discussione aperto al pubblico: "Non possiamo permetterci il lusso di fare figuracce planetarie - spiegano gli organizzatori in una nota - Noi blogger possiamo creare il miglior sito per questo evento. Sappiamo esattamente cosa fare e chi reclutare per avere all'opera i migliori professionisti del 2.0".

Luca Annunziata
27 Commenti alla Notizia Acque agitate attorno a Expo 2015
Ordina
  • A distanza di un anno e mezzo pare che il dominio milano2015.it non sia attivo. In compenso nel mondo della rete proliferano numerosi blog e siti relativi all'Expo 2015. Su expoholic.it é disponibile una recensione dei top 50 siti web sull'Expo. Per saperne di piu': http://www.expoholic.it/tecnologia/top-50-siti-web...
  • Riguardo l'EXPO universale a Milano è il caso di dire che piove sul bagnato. Credo che Milano e dintorni vivano in una condizione di privilegio economico, che l'economia settentrionale sia "drogata" da tempo e direi che si è raggiunta l'overdose. Mi chiedo perché da sempre in Italia se si vogliono mettere in pratica investimenti per lo sviluppo economico ci si impegna solo per Milano la lombardia, e il nord, in barba a tutte le belle parole che sentiamo soprattutto in periodi di elezioni politiche in cui si predica che la crescita del paese ci sarà "solo" se faremo crescere il mezzoggiorno. Anche la scusa che Milano dovrebbe essere la capitale morale d'Italia lascia il tempo che trova visto che milanesi e lombardi per primi si sentono cittadini di un altro paese (la padania).
    TUTTO QUESTO E' VERGOGNOSO !!!
    non+autenticato
  • Segnalo la discussione "Milano Expo 2015: Cittadini condannati alla protesta o coinvolti nelle proposte?" ( http://www.partecipami.it/milanoexpo2015 ) avviata il 2 aprile nel "Forum permanente sulla città" di partecipaMi con questo post:
    ------------------------------------

    Prima di Pasqua leggevo questo ( http://tinyurl.com/yt8mkf ) articolo del Corriere della Sera sull'Expo.
    E condivido con l'autore che questo Expo porterà dei cambiamenti giganti nella città (a livello di strutture, a livello economico, a livello sociale, ecc). Ma Garzonio dice anche: "E v'è da creare una cultura dello sviluppo che, senza demonizzare mercato e produttività, metta al centro l' uomo e la vivibilità". E su questi temi si sono focalizzati numerosi commenti post "vittoria".

    Viene da chiedermi: l'evento Expo non potrebbe essere un momento per ripensare la sostenibilità della città?
    E ancora: dove, a che livello, e in che modo è sostenibile coinvolgere i cittadini nelle scelte di questo Expo? sostenibile per la città, per i cittadini, ma soprattutto per i suoi rappresentanti.

    -- fiorella
    ------------------------------------
    non+autenticato
  • Buonasera a tutti,
    mi sto affascinando a questa storia dell'hacker che ''scopre i bug'' nei siti, e allora mi chiedo:

    Un BUG HUNTER (esperto o aspirante come me) che decide di verificare un sito con simulazioni di attacchi (xss/sql blind o meno injection, turbo o no..eccecc.) senza NESSUN tipo di AUTORIZZAZIONE da parte del proprietario dello stesso non va incontro a reati/denuncia di qualche sorta?

    E se dovessi in qualche modo creare dei DANNI anche solo di immagine, nel caso migliore, sono perseguibile legalmente?

    Faccio un esempio:
    ad un sito faccio una SQL BLIND INJECTION, come dice l'esperto, e dato che sono stati 'incapaci' elimino la loro banca dati, ipotesi assurda per me lo so, ma ... magari la banca è una banca del sangue,(piu' facile) e per colpa del MIO ESSEQUELLE INGECTION, si perdono anni di dati, che potevano salvare vite cosa mi succede dopo che vado a spiattellarlo di quà e di là su vari forum/blog/etc da ESPERTO BUG HUNTER?...

    Insomma quello che voglio dire io è:
    uno puo' tranquillamente forzare la finestra di casa mia e poi con la mia finestra in mano mi dice stavo solo testando la sicurezza, non hai fissato bene l'ultima vite in alto a destra, senza il mio permesso? chi mi ripaga il rimontaggio?
    bah...dubbio...(in questo caso me lo risolve il 113..:))

    ancora una cosa per tornare all'EXPO:
    - dove posso registrarmi nel sito EXPO? io non ho trovato nulla come form o altro, ho letto che si parlava di database utenti e volevo registrarmi, qualcuno sa come fare?

    Grazie a tutti

    Apirante.Bug (Hunter) presto esperto.
  • In genere quando si fanno questo tipo di test, non si va a cancellare, ma magari ad aggiungere / modificare.

    Se vai a cancellare la banca dati e poi informi che "c'e' una falla", passi dei guai non per il tentativo di intrusione ( che da quel che mi risulta è anch'esso illegale ), ma per il danno che hai arrecato cancellando i dati.

    Poi potrei sbagliare...
    non+autenticato
  • chi si presenta ad un'azienda dicendo :
    "Io lo faccio meglio", non puo' farlo con un progetto "open source", perche' altrimenti cade nel ridicolo lui e la sua proposta.

    Se si pensa di poter fare un lavoro meglio di un'altro, ci si presenta con un proprio prodotto, in modo da far valutare le proprie capacità.

    E' sempre una cosa ottima rivelare eventuali bug, ma si scade nel ridicolo quando chi rivela tali bug si propone di effettuare il lavoro presentandosi con wordpress...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)