Olimpo Informatico

[SverX]

Un argomento che ho sempre sognato di intavolare tra utenti di Internet (e quindi lo faccio adesso qui con voi) è quello della sicurezza su Internet dei vostri dati riservati. Mi spiego meglio... su quanti siti web, per iscriversi ad un servizio più o meno gratuito, avete dovuto compilare un modulo nel quale vi è stato richiesto -ad esempio ma non solamente- indirizzo e/o numero telefonico e/o numero di scarpe e/o preferenze musicali o quant'altro? In molti, credo. Questi dati poi sono accessibili a voi per modificarli nell'eventualità che cambiaste indirizzo (di posta elettronica o reale) no? E cosa vi assicura che qualcun altro -potenzialmente malintenzionato- non possa accedere e leggere (o CAMBIARE!) questi dati? La password.

Ma qui non voglio parlare semplicemente del fatto che la password DEVE essere scelta con cura e mantenuta segreta ( con cura si intende anche che è meglio se la password non è uguale al nome utente... mica come la mia amica "simo" che usa "simo" come password dappertutto... groan...) ma parlo anche del fatto che -ma forse non è così noto- è facile che un sito web non sia stato così curato da evitare che il solito malintenzionato sia in grado di entrare senza sapere la password ma usando -per così dire- una password "universale", cioè che funziona con qualunque nome utente.

Ora, capitemi, se io dovessi qui scrivere questa password allora probabilmente rischierei grane legali e quindi eviterò. Per chi ha voglia di approfondire posso dire -perchè questa informazione è pubblica- che molti siti web che sono front-end di un sistema basato su database SQL ( Structured Query Language ) soffrono della possibilità di una "iniezione SQL" attraverso i campi "nome utente" e "password" del modulo di login.

Personalmente, utilizzando però il mio personale nome utente, di volta in volta, ho trovato quali siti sono "immuni" (fatti meglio) e quali no. E a questi cosa dico? "Guardate, ho fatto un test... in pratica ho fatto un attacco informatico per vedere se i miei dati personali sono al sicuro e ho visto che non lo sono... potreste mettere a posto?" ... prima di ottenere risposta già mi troverei la polizia in casa...



... e voi che fareste allora?

[egosumquisum2]

mi sembra che sul sito autistici.org abbiano fatto qualcosa di simile con una USL, e hanno pubblicato il risultato, senza però rendere noto il metodo

potresti provare a chiedere a loro

There are 10 kinds of people
Those who understand binaries and those who don't

[SverX]

Se parli dell'underscore di Torino... no, loro hanno fatto una cosa diversa... loro trovarono un'area con dei dati riservati (dati medici!) che era liberamente accessibile (no password - no party ) Comunque avevo anche provato a contattarli ma non ottenni mai riscontro...

[gieffeo]

... di ego e' buona, secondo me



e provare con qualcun altro? che ne so... anche paolo attivissimo, ad esempio... (e' solo un'idea)



temo che l'appoggiarti a qualche "entita'" piu' autorevole (scusa, nn voglio mancarti di rispetto ) sia l'unica strada percorribile per non restare impantanato in qualcosa che ti si rivolta contro, visto che il problema che sollevi e' molto pertinente!

[SverX]

innanzitutto non mi manchi di rispetto, figurati



poi... beh, il problema ci riguarda tutti, non è una cosa che capita solo a me... in realtà lo ho scritto qui proprio perchè voglio vedere se qualcuno reputerà questo problema preoccupante oppure -come succede spesso- se si dirà "eh, pazienza, che ci vuoi fare..."



io personalmente ho rimosso i miei dati dai siti che ho appurato non sicuri... ma gli altri che faranno?

[gieffeo]

Quote:

---

io personalmente ho rimosso i miei dati dai siti che ho appurato non sicuri...

---

come?



(idiot-proof pf)

[SverX]

mmm... nel senso che in ogni sito dove avevo fornito dati ho richiesto (e ottenuto!) di essere cancellato, rimuovendo i miei dati personali. Certo che ho dovuto lasciare dei "servizi" utili e cercarne altri... ovvio...

[egosumquisum2]

Quote:

---

gli altri che faranno?

---

personalmente non do mai (quasi) dati personali

anche il cf è facilmente componibile

penso che di dati miei in rete ce ne siano veramente pochi, e nessuno relativo a dati sensibili



ciò non toglie che la cosa sia quantomeno "scocciante"

There are 10 kinds of people
Those who understand binaries and those who don't

[SverX]

però, ego, se non abiliti la tua ezBox come ti rispondo ai messaggi privati?

[gieffeo]

... di andare dai miei soliti "protetti" e di fare per loro conto ad esempio la richiesta di un indirizzo di posta elettronica; durante la procedura, dico sempre di mettere solo ed esclusivamente i dati obbligatori, eventualmente glissando dove si puo' (professione=altro ad esempio) e disattivanto accuratamente ogni casella tipo "si, desidero ricevere etc etc etc"

[egosumquisum2]

sicuro che non vada? mi sembra adi averla abilitata

mo vado a rivedere

There are 10 kinds of people
Those who understand binaries and those who don't

[SverX]

ancora disabilitate, Ego...

[ioSOLOio]

eh..bel problema....



o meglio...due problemi...



perchè un conto è avere una personale gestione accurata dei propri dati e pwd..cioè non lasciare troppi dati in giro, non utilizzare password banali e modificarle di tanto in tanto....



un conto è un sito mal costruito/gestito/.. che ha poca cura dei dati sensibili che recepisce o che ha una password che funge da specie di "backdoor"



se si tratta di piccoli siti dove ad esempio si può avvertire il responsabile per segnalare amichevolmente la falla, credo lo si possa fare..

se si tratta di grosse realtà, mi sa che ha ragione Sverx...o si rischia di passare per dei terribili hacker (nel significato comunemente utilizzato sui giornali) o si viene banalmente ignorati...





[mode_saveourselves]

ehm..facciamo circolare internos la voce per proteggerci ?

[/mode_saveourselves]

[SverX]

Quote:

---

facciamo circolare internos la voce per proteggerci?

---

Cosa intendi? Perchè personalmente penso che posso dare l'informazione ma mi metterei nei guai scrivendo pubblicamente quali siti ho trovato "vulnerabili" e/o come usare (testare, intendo) la vulnerabilità...

... ma vi assicuro che se cercate in rete qualcosa tipo "SQL Injection" trovate molto e da lì a testare una password "magica" sui siti dove avete dati personali il passo è breve... il problema poi è se appurate che questo baco è presente: certo, come dici tu, se è un piccolo sito personale basta scrivere una mail... ma a quanti piccoli siti personali date i vostri dati? Nessuno, credo... ma siti di compagnie telefoniche, ad esempio, o di servizi pubblici...

[ioSOLOio]

intendevo in pvt tra noi

[niklair]

.... come sempre interessato ... dove c'è da imparare ... e poi la mia privacy si chiama così perchè è mia .... uffà

[zeusnews]

Parli di questo?



Interessante anche questo, dell'hacklab milano.