Luca Annunziata

Milano Bicocca, nessuna obscurity nella security

Uno studente scopre un buco in un servizio. E diventa parte attiva nella sua risoluzione. Una storia a lieto fine, che parla di etica e di programmazione consapevole

Roma - Può capitare di imbattersi in una vulnerabilità di un sistema, in un buco - piccolo o grande che sia - lasciato aperto per colpa di una disattenzione o di una leggerezza. O, più frequentemente, capita di riuscire a pensare a quell'unica possibilità che esperti programmatori non avevano previsto: è un po' la dimostrazione pratica della celebre legge di Murphy. Qualcosa del genere è successo nelle scorse settimane anche all'Università degli studi di Milano-Bicocca, dove uno studente ha scoperto un problema nei sistemi dell'anagrafica e ha contribuito a sanarlo.

Il suo nome è Aniello Coppeto e studia Informatica. Racconta a PI come si sia accorto per caso, mentre si trovava nel laboratorio dell'ateneo, di un link insolito nella pagina di un avviso sulla bacheca digitale della facoltà: "Stavo leggendo un bando per diventare tutor - spiega a Punto Informatico - c'era un link e l'ho seguito". Un clic, e "Nello" scopre di aver avuto accesso ad un pannello di configurazione dei privilegi del laboratorio. Con sua sorpresa scopre anche che, da quel pannello, con poche righe di codice potrebbe avere accesso alle informazioni su tutti i suoi colleghi di facoltà.

"Avere accesso ad una banca dati abbastanza importante significa soprattutto decidere di agire responsabilmente", precisa Nello, ossia essere in grado di gestire la faccenda senza creare danni. Per questo si rivolge subito al suo professore, Claudio Ferretti, docente tra l'altro del corso di Sicurezza dei sistemi informatici. "Normalmente la gestione dei laboratori avviene a livello di ateneo - precisa il professore - In questo caso sono stato coinvolto poiché lo studente frequenta la mia facoltà".
"╚ bene sottolineare - precisa il professore - che la questione riguardava un ambito specifico, un piccolo applicativo creato da noi per questioni amministrative". Si trattava dunque di un accesso ad una quantità ristretta di informazioni, e l'impatto che avrebbe avuto l'eventuale falla sarebbe comunque stato limitato. "Coppeto comunque si è mosso con rigore, mi ha contattato e con i responsabili della struttura abbiamo verificato la problematica con la massima trasparenza".

Il professor Ferretti non crede nella cosiddetta pratica del security through obscurity: "La gestione del problema e la sua soluzione sono state in parte affidate a Coppeto, che ha collaborato con gli sviluppatori e i responsabili del dipartimento". Il problema era legato ad un ottimismo eccessivo tenuto in fase di progettazione: "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".

Come spiega il professore, si tenta sempre di fare "il gioco dell'avvocato del diavolo" con i propri sistemi per cercare di metterli in sicurezza: nel caso della rete della Bicocca si era data la precedenza alla sicurezza dall'esterno verso l'interno, per prevenire attacchi provenienti da fuori, e dall'interno verso l'esterno, per evitare che qualcuno potesse sfruttare le risorse universitarie per scopi non leciti. "Il caso che si è verificato è stato la conseguenza di una scelta superficiale di scenario ipotetico. Si era tentato di mettersi nei panni dell'attaccante per prevenire gli abusi, si erano prese delle precauzioni: ma Coppeto è riuscito a fare di più".

Per fortuna, tra studente e università c'è stato un buon dialogo: "Il mio professore mi è piaciuto moltissimo - racconta Nello - Spesso quando ci si presenta come hacker la gente tende a considerarti un semplice ficcanaso: si domandano perché tu abbia provato a guardare dentro un sistema con un buco, ci si può mettere in situazioni difficili da gestire". C'è insomma chi apprezza la curiosità di uno studente, di un hacker con tanta voglia di imparare, e chi meno: "Il professore ha apprezzato e questo mi ha dato coraggio: se ricapitasse lo rifarei, l'importante è agire con serietà".

a cura di Luca Annunziata
55 Commenti alla Notizia Milano Bicocca, nessuna obscurity nella security
Ordina
  • il problema non è che quest'uomo è entrato per puro caso in questo buco... o magari che ha avuto fortuna... il premio va dato per la serietà, lui non ha sfruttato la situazione per scopi personali... lui è stato umile e serio e magari con questo ha fatto da esempio facendo capire alla maggior parte della gente che un hacker non è un ficcanaso, ma solo una persona che esplora e ha tanta voglia di capire, neanche di imparare...
    è stato un piacere, ciao a tutti sopratutto agli invidiosi
    non+autenticato
  • Ragazzi, ragazzi...voi non vi immaginate che cosa c'è là fuori...io lavoro come consulente per un'importante banca italiana (diciamo la più importante così capite) e gestisco un software di gestione della sicurezza interna. All'interno si teme sempre di meno. Si è in buona fede. Ci sono certe falle e imprecisioni di programmatori ignoranti e inesperti che stiamo cercando di riparare...se solo vedeste come sono combinati i database...

    Signori non siamo tutti Mitnick...le falle ci sono prima di tutto perchè siamo uomini prima che programmatori, poi perchè non si vuole investire adeguatamente. Le aziende vogliono un buon risultato a basso costo. Invece raccolgono ciò che seminano. Merda. Mi chiedi di sistemarti una falla grande come la sorgente del Nilo in 30 gg/u? Io faccio quello che posso, poi ti attacchi.
    E questo succede in "una" delle prime banche d'italia e voi vi stupite? Figuratevi un'università!

    Quello che non mi va giù, da ex vostro collega bicocchiano, e qui sarò duro come uno str***o che non vuole uscire dal buco del c**o, è che molti di voi danno dell'"idiota" a un docente solo perchè, di fronte a un errore umano ha descritto con altrettanta "umanità" quello che è accaduto. E che avrebbe dovuto dire? Trovo non abbia nulla di cui vergognarsi.

    Gli errori più stupidi come questi sono alla base delle falle più catastrofiche. Le disattenzioni banali. Magari perchè il programmatore che stava sviluppando il codice è un idiota, magari perchè inesperto, magari perchè, anche se sa fare il suo lavoro, sta passando un periodaccio.

    Provateci voi se ce la fate ad essere perfetti.
    Gli esperti esistono perchè possano insegnare agli incompetenti come molti di voi come essere curiosi nella materia che vi insegnano. La loro esperienza è una base da cui iniziare. Ma il futuro siete voi non loro. Se vi aspettate che Ferretti vi insegni tutto e bene state freschi...sbaglierete anche voi cervellotici che credete di sapere tutto linux ma non sapete una bega di unix (a buon intenditor...), che ve la tirate tanto con il C, perchè è l'unico linguaggio che vi fa sentire fighi anche se non sapete manco cos'è un puntatore a funzione. Voi, così abituati soltanto a criticare, voi non costruirete nulla, perchè la critica fine a se stessa non ha nulla di costruttivo.

    Il ragazzo non è un hacker e dovrebbe cominciare a leggere seriamente qualcosa a riguardo prima di definirsi tale. E solo tanto curioso e volenteroso. Senz'altro un buon inizio. Un piccolo hacker "all'italiana" (chi ha letto "Spaghetti Hacker" capisce la definizione).
    non+autenticato
  • La prima risposta veramente intelligente. Io personalmente sono in una facoltà differente e li siamo pure messi peggio che da voi, ma so benissimo che da la dentro l'unica cosa che ci guadagnerò sarà un pezzo di carta (laurea, per chi non capisse). Tutto ciò che vi serve si impara solo con le proprie forze, ed è ciò che sto facendo da sempre. Prima di iniziare l'università ho passato due anni a sviluppare un software gestionale per magazzini (una cazzata rispetto alla gestione di una banca), ma anche li è stata dura dover creare tuto da zero senza le minime basi. Poi sono finito in questo circolo vizioso chiamato università e sinceramente mi sto ancora chiedendo in che mondo vivono questi. Ma vabbe, poco importa cosa fate o non fate in facoltà, ciò che importa è riuscire a trovre un lavoro e farlo bene per vivere, e io per fortuna ci riesco. Per quanto riguarda il fantomatico hacker, sinceramente non è colpa sua se si è definito tale, è colpa dei preconcetti che esistono nella società (ricordo che una volta dei clienti mi hanno definito hacker solo perchè gli ho recuperato le password salvate in Firefox...)

    Divertitevi.
    non+autenticato
  • Ah se per questo anch'io sono un hacker perchè so dell'esistenza dei proxies.
    ("Dobbiamo usare Internet, ma non tutta, solo un pezzetto") Deluso
    non+autenticato
  • fare un articolo su questa cosa.....
    anche io sono iscritto al corso di informatica alla bicocca....fuori corso e lavoratore presso una software house, inutile dire che in 9 mesi qui ho imparato 1.000.000.000 di cose in più che in 3 anni di facoltà...
    buon proseguimento di giornata,
    sayonara!
    non+autenticato
  • Credo che questo sia il problema dell'università italiana in generale e non solo della Bicocca (ex studente pure io)
  • ci sono tutti i grandi temi:

    - c'e' l'hacker etico (che poi l'abbia fatto per farsi bello e vedersi su PI...)
    - c'e' l'hacker che non e' un hacker (a meno di un minimo di sql injection, se poi di questo stiamo parlando)
    - c'e' un'incompetenza (progettuale?) implementativa senz'altro, da additare
    - c'e' una competenza da mettere in discussione (sempre allettante ma e' come se all'investigatore che espone come sia stato commesso un delitto se ne imputasse la responsabilita')
    - c'e' il vecchio flame M$, IE, etc vs SW libero
    - c'e' la discussione su come vengono spesi i denari pubblici

    Quello che bisognerebbe capire e' perche' sia stata commessa una leggerezza simile e cosa all'atto pratico e' stato reso visibile: parliamo di carriere degli studenti o di nome e cognome degli iscritti ad un esame (e' ovvio che le caratteristiche di riservatezza cambiano di molto...)
    non+autenticato
  • "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".

    ...vige un controllo rigoroso del software installato, solo con IE, a dir la verità io navigo tranquillamente pure con firefox e non ci si mette niente ad installarlo sui computer in facoltà (sono pure io in bicocca)
    non+autenticato
  • In teoria, teoria e pratica dovrebbero essere la stessa cosa.

    In pratica, non lo sono.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)