Archivi Tag: Facebook


Ho cancellato le app Messenger e Linkedin dal cellulare. D’ora in avanti solo dal pc e se avro’ tempo e se avro’ voglia. Su Facebook m’hanno disattivato tre diversi account perche’ e’ peggio della dittatura cinese e quindi apposto. Tanto e’ tutta roba che non serve a nulla.

Da oggi mi trovate solo al telefono, o al limite, via mail. 

 

Facciamo come gli antichi?! 
PARLIAMOCI!!!! 😆

 

 

So’-tutt’-un-fremito, finalmente ho il mio account Google+ (WoW!)

Chi si volesse iscriere (e’ solo su invito per ora, mi pare…) e mi volesse aggiungere alle sue cerchie, puo’ cliccare sul link sottostante e seguire la procedura.

 

Invito a Google+ : https://plus.google.com/_/notifications/ngemlink?path=%2F%3Fgpinv%3DjerH-BuXNQQ%3A3iNZfZIaldA

 

 

LulzStorm proclamation

LulzStorm proclamation

Si da in ogni dove grande risalto alla notizia che degli hackers appartenenti al gruppo Lulzstorm – http://twitter.com/#!/LulzStorm – hanno attaccato e vulnerato i sistemi informativi di 18 atenei italiani. Si additando questi hackers come dei terroristi che si divertono a fare scorribande sui sistemi informatici altrui anche se non riuscendo in fondo a far danni per una presunta tenuta delle procedure di sicurezza.
Mah!… Che gli hackers abbiamo violato i sistemi delle università questo e’ vero, che facendo questo abbiano contemporaneamente anche violato leggi di vario genere e natura, e’ vero, ma voi, vi siete tolti lo sfizio di scaricare dai torrent ( http://www.monova.org/user.php?id=lulzst0rm ) il file con le password e i dati degli utenti che sono stati carpiti?

Una password di "admin" usata da un ateneo (dal file di LulzStorm)

Beh, se lo aveste fatto, avreste notato che la stragrande maggioranza delle password non rispettava neanche lontanamente gli standard piu’ banali di sicurezza. Moltissime utenze avevano uno schema username – password che rasenta il ridicolo: l’utente Mario Rossi ha come password “rossi”, l’utente Giuseppe Verdi ha come password “verdi”, e compagnia cantando. A quanto sembra inoltre le password registrate in alcuni dei sistemi erano in chiaro, non cifrate. Inutile dire che la gestione delle utenze e delle password sembrerebbe essere stata fatta in palese contrasto con la legge sulla privacy e varie altre direttive del Garante che prevedono almeno password complesse (non certo utente Verdi, password “verdi”), un cambio password obbligatorio ogni tot giorni, disattivazione degli account non piu’ utilizzati, ecc..

I rettori e i responsabili dei sistemi informativi degli atenei si sono affrettati a dire che i dati carpiti non sono dati sensibili (ma sono comunque definiti dalla legge “personali”) e che la violazione che c’e’ stata e’ di impatto ridottissimo. A mio parere questo e’ inesatto, parziale e non corrispondente al vero.
Se qualcuno riesce a violare il database delle password di un sistema, ovvero la sancta sanctorum del sistema stesso, puo’ a quel punto fare di quel sistema tutto cio’ che vuole, compreso arrivare ad altri dati quali, ad esempio, le rette pagate dagli studenti in funzione dei redditi delle loro famiglie. Per altro, non so quanto possano essere contenti gli studenti e i professori del fatto che i loro indirizzi mail, numeri di telefono, numeri di cellulare, utenze e password siano stati sparsi ai quattro venti per tutta internet.
E se quei pochi che usavano le password non di default avessero usato la stessa password anche per altri servizi on line, magari Facebook, magari la propria mail privata? Certo in questo caso sarebbe stato l’utente ad applicare una condotta non consigliata, ovvero usare sempre la stessa password per diversi servizi, ma e’ anche vero che finche’ quella password non fosse stata accessibile in maniera cosi’ facile, sarebbe comunque rimasta abbastanza al sicuro.

Ammesso poi che i dati carpiti non siano sensibili, potremmo mai verificare quando potrebbe essere fastidioso per rettori e professori se il loro numeri di cellulare venissero scritti in un bagno di qualche Autogrill, magari accompagnati da ammiccanti e non proprio signorili inviti?
Il gruppo LulzStorm ha tenuto a ribadire che si sono voluti fermare e che non hanno estratto dai sistemi ulteriori dati o danneggiato i sistemi violati perche’ questo ha voluto essere un attacco meramente dimostrativo (“We could have leaked much more. / We could have destroyed your db and your network.”), e c’e’ da crederci, alla faccia di chi minimizza per sentirsi meno responsabile del problema.

Alcuni dei dati personali carpiti dai database delle università

Alcuni dei dati personali carpiti dai database delle università. Nomi, cognomi, mail, indirizzi di casa, telefoni fissi e cellulari, codici fiscali.

Altra cosa sulla quale riflettere e’ che ben 18 sistemi diversi di 18 atenei diversi siano stati violati tutti insieme, probabilmente perche’ condividono gli stessi sistemi di (in)sicurezza e modalità comuni di gestione; come a dire, capito come violare un sistema, capito come violare tutti gli altri che sono similarmente (mal) gestiti. Sarà colpa degli appalti pubblici sull’affidamento della gestione dell’informatica o della faciloneria con cui in Italia si fa sempre tutto?

Ora i rettori continueranno a minimizzare di fronte alla stampa (e agli studenti) non rendendosi neanche conto dell’entita’ del problema e delle sue implicazioni, gli atenei cominceranno a preoccuparsi di chiudere le porte della stalla quando i buoi sono gia’ scappati e varie forze di polizia cominceranno a giocare a guardia e ladri per individuare i colpevoli. Spero che le forze di polizia e il Garante della privacy pero’ si muovano anche nella direzione opposta, ovvero nel cercare i responsabili della sicurezza informatica (tipicamente indicati nei DPS allegati ai bilanci degli atenei) e a verificare se questi abbiano posto in essere almeno le misure minime di sicurezza per la salvaguardia dei dati degli utenti. Si vero, gli hackers hanno violato dei sistemi infrangendo la legge, ma e’ altrettanto vero che la legge e’ stata infranta anche da quanti, prima, forse non hanno osservato tutto quanto prescritto in materia di salvaguardia dei dati personali (e non).

 

More info:

Elenco delle università attaccate:

Lulzstorm target

Uno strano refuso in uno dei nomi di dominio.

 

Powered by WordPress &Web Design Company - Modified by Lorenz