Sicurezza, ICT e altro

Cito nuovamente le parole illuminate che ho già citato qui: “La gente non pensa che la sicurezza vada abbastanza male da spenderci soldi: le esternalità non sono intollerabili. Il pubblico non è in rivolta, l’attenzione alle violazioni di sicurezza ha raggiunto, se è tanto, il livello di attenzione degli attentati in Iraq: succedono tutti i giorni, tutti concordano che sia una brutta cosa e poi tornano ai propri impegni“. Bene, l’equivalente inglese dell’Agenzia delle Entrate (se non sbaglio la traduzione) ammette di essersi persa, o fatta rubare, due dischi con dati relativi a 25 milioni di persone, quasi la metà della popolazione del Regno Unito, probabilmente buona parte di quella con un reddito. Dati protetti solo con password. Tutti dicono che è un disastro. Da una settimana. Ma da una settimana non ho sentito dire niente di più. Quando c’è un disastro di qualsiasi altro tipo, si leggono discussioni sul come e sul perché, e su come evitare che accada di nuovo. L’articolo su CNET è una collezione di affermazioni sconfortanti, come ad esempio che “there should be tougher penalties for persistent or serious breaches of data laws“. I dischi sono stati spediti via TNT in ottobre, e l’8 Novembre si sono accorti che non erano arrivati. Eufemisticamente, si dice che  “some of the eight principles of the Data Protection Act, including that personal information be kept secure, had ‘clearly been breached.’“. Ci si può immaginare di peggio? Certo: la prossima volta sentiremo che i dati sanitari di tutti i cittadini iscritti a qualche cassa malattia di un qualche paese saranno stati rubati perché erano stati affidati ad un garzone per portarli in un altro edificio “visto che passava di là”. Qualcuno dirà che sta investigando su “come mai non erano state seguite tutte le procedure” e “se ci siano responsabilità”. Di fatto, succede esattamente quello che ho citato qui sopra: si grida allo scandalo, o meglio se ne parla con un po’ di rassegnazione e con un tono appena più alto del normale, e il giorno dopo ricomincia tutto come prima. Sono cose lontane dal sentire comune: nessun effetto evidente, niente nomi famosi, niente immagini spettacolari in televisione. Domani sarà dimenticato. Esternalità e meraviglie del virtuale.

Tempo fa ho riportato che il sito di Light Blue Touchpaper era stato compromesso in quanto non aggiornato. In questo post viene raccontato un po’ del retroscena. È vero che il sito è stato compromesso in quanto non aggiornato, ma c’è stato un seguito interessante. L’attaccante infatti, una volta avuta occasione di leggere il database delle password durante la prima compromissione, ha sfruttato un attacco 0-day per rientrare dopo l’aggiornamento, attacco che è la cookie authentication vulnerability di cui si parla in questi giorni. Il punto interessante è che a quel punto Steven J. Murdoch si è letto il codice ed ha scoperto l’errore nell’implementazione dell’hash. Il punto interessante secondo me è che una volta che un esperto si legge il codice (attentamente immagino, chissà il fastidio per quella seconda intrusione dopo l’aggiornamento) il problema viene fuori. Nella mia (poca?) esperienza di codice, ci vuole del codice scritto molto, molto, molto bene perché un professionista non trovi delle vulnerabilità con relativamente poco sforzo. D’altra parte, il codice di WordPress è pubblico, e questo la dice lunga su quanto sia poco ovvio il rapporto codice pubblico/audit pubblico.