[NEWS] Milano Bicocca, nessuna obscurity nella security

[c.m.g]

giovedì 17 aprile 2008

Roma - Può capitare di imbattersi in una vulnerabilità di un sistema, in un buco - piccolo o grande che sia - lasciato aperto per colpa di una disattenzione o di una leggerezza. O, più frequentemente, capita di riuscire a pensare a quell'unica possibilità che esperti programmatori non avevano previsto: è un po' la dimostrazione pratica della celebre legge di Murphy. Qualcosa del genere è successo nelle scorse settimane anche all'Università degli studi di Milano-Bicocca, dove uno studente ha scoperto un problema nei sistemi dell'anagrafica e ha contribuito a sanarlo.

Il suo nome è Aniello Coppeto e studia Informatica. Racconta a PI come si sia accorto per caso, mentre si trovava nel laboratorio dell'ateneo, di un link insolito nella pagina di un avviso sulla bacheca digitale della facoltà: "Stavo leggendo un bando per diventare tutor - spiega a Punto Informatico - c'era un link e l'ho seguito". Un clic, e "Nello" scopre di aver avuto accesso ad un pannello di configurazione dei privilegi del laboratorio. Con sua sorpresa scopre anche che, da quel pannello, con poche righe di codice potrebbe avere accesso alle informazioni su tutti i suoi colleghi di facoltà.

"Avere accesso ad una banca dati abbastanza importante significa soprattutto decidere di agire responsabilmente", precisa Nello, ossia essere in grado di gestire la faccenda senza creare danni. Per questo si rivolge subito al suo professore, Claudio Ferretti, docente tra l'altro del corso di Sicurezza dei sistemi informatici. "Normalmente la gestione dei laboratori avviene a livello di ateneo - precisa il professore - In questo caso sono stato coinvolto poiché lo studente frequenta la mia facoltà".

"È bene sottolineare - precisa il professore - che la questione riguardava un ambito specifico, un piccolo applicativo creato da noi per questioni amministrative". Si trattava dunque di un accesso ad una quantità ristretta di informazioni, e l'impatto che avrebbe avuto l'eventuale falla sarebbe comunque stato limitato. "Coppeto comunque si è mosso con rigore, mi ha contattato e con i responsabili della struttura abbiamo verificato la problematica con la massima trasparenza".

Il professor Ferretti non crede nella cosiddetta pratica del security through obscurity: "La gestione del problema e la sua soluzione sono state in parte affidate a Coppeto, che ha collaborato con gli sviluppatori e i responsabili del dipartimento". Il problema era legato ad un ottimismo eccessivo tenuto in fase di progettazione: "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".

Come spiega il professore, si tenta sempre di fare "il gioco dell'avvocato del diavolo" con i propri sistemi per cercare di metterli in sicurezza: nel caso della rete della Bicocca si era data la precedenza alla sicurezza dall'esterno verso l'interno, per prevenire attacchi provenienti da fuori, e dall'interno verso l'esterno, per evitare che qualcuno potesse sfruttare le risorse universitarie per scopi non leciti. "Il caso che si è verificato è stato la conseguenza di una scelta superficiale di scenario ipotetico. Si era tentato di mettersi nei panni dell'attaccante per prevenire gli abusi, si erano prese delle precauzioni: ma Coppeto è riuscito a fare di più".

Per fortuna, tra studente e università c'è stato un buon dialogo: "Il mio professore mi è piaciuto moltissimo - racconta Nello - Spesso quando ci si presenta come hacker la gente tende a considerarti un semplice ficcanaso: si domandano perché tu abbia provato a guardare dentro un sistema con un buco, ci si può mettere in situazioni difficili da gestire". C'è insomma chi apprezza la curiosità di uno studente, di un hacker con tanta voglia di imparare, e chi meno: "Il professore ha apprezzato e questo mi ha dato coraggio: se ricapitasse lo rifarei, l'importante è agire con serietà".

a cura di Luca Annunziata


Fonte: Punto Informatico