"Avere accesso ad una banca dati abbastanza importante significa soprattutto decidere di agire responsabilmente", precisa Nello, ossia essere in grado di gestire la faccenda senza creare danni. Per questo si rivolge subito al suo professore, Claudio Ferretti, docente tra l'altro del corso di Sicurezza dei sistemi informatici. "Normalmente la gestione dei laboratori avviene a livello di ateneo - precisa il professore - In questo caso sono stato coinvolto poiché lo studente frequenta la mia facoltà".
"È bene sottolineare - precisa il professore - che la questione riguardava un ambito specifico, un piccolo applicativo creato da noi per questioni amministrative". Si trattava dunque di un accesso ad una quantità ristretta di informazioni, e l'impatto che avrebbe avuto l'eventuale falla sarebbe comunque stato limitato. "Coppeto comunque si è mosso con rigore, mi ha contattato e con i responsabili della struttura abbiamo verificato la problematica con la massima trasparenza".

Il professor Ferretti non crede nella cosiddetta pratica del security through obscurity: "La gestione del problema e la sua soluzione sono state in parte affidate a Coppeto, che ha collaborato con gli sviluppatori e i responsabili del dipartimento". Il problema era legato ad un ottimismo eccessivo tenuto in fase di progettazione: "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".

Come spiega il professore, si tenta sempre di fare "il gioco dell'avvocato del diavolo" con i propri sistemi per cercare di metterli in sicurezza: nel caso della rete della Bicocca si era data la precedenza alla sicurezza dall'esterno verso l'interno, per prevenire attacchi provenienti da fuori, e dall'interno verso l'esterno, per evitare che qualcuno potesse sfruttare le risorse universitarie per scopi non leciti. "Il caso che si è verificato è stato la conseguenza di una scelta superficiale di scenario ipotetico. Si era tentato di mettersi nei panni dell'attaccante per prevenire gli abusi, si erano prese delle precauzioni: ma Coppeto è riuscito a fare di più".

Per fortuna, tra studente e università c'è stato un buon dialogo: "Il mio professore mi è piaciuto moltissimo - racconta Nello - Spesso quando ci si presenta come hacker la gente tende a considerarti un semplice ficcanaso: si domandano perché tu abbia provato a guardare dentro un sistema con un buco, ci si può mettere in situazioni difficili da gestire". C'è insomma chi apprezza la curiosità di uno studente, di un hacker con tanta voglia di imparare, e chi meno: "Il professore ha apprezzato e questo mi ha dato coraggio: se ricapitasse lo rifarei, l'importante è agire con serietà".

a cura di Luca Annunziata

Fonte originale: Punto-informatico.it

Questo articolo, come tutti i contenuti di Punto Informatico (salvo diverse indicazioni) sono pubblicati secondo la licenza di utilizzo di Creative Commons

TELAVORA DA CASA CLICCA QUI E SCOPRI COME Software motori di ricerca - Guadagnare Online Affari-web.it non si assume alcuna responsabilità circa i contenuti dei link segnalati. Le foto inserite in alcune pagine sono state tratte liberamente dal web (non si specificava alcun diritto) e chiunque ne detenga i diritti può contattarci per la rimozione. Tutti i marchi citati appartengono ai loro proprietari.