mercoledì 13 giugno 2007

La Clessidra 2



Prendo spunto da due discussioni fresche fresche di LC, per fare il punto sulla situazione attuale per quanto riguarda la richiesta di cancellazione di tutti i dati personali dal suo database.


Parto da questo thread dove si discute di p2p e privacy. Gli attentati a questo diritto sono infatti molto sentiti e diffusi nel popolo che anima il web, che (avvolte) a ragione si sente ancora una volta vittima delle solite lobby. Volano i "truffa" qui e gli "scandaloso" là, ma intanto assisto attonito a un fenomeno che, visto il luogo, ha del paranormale: mai nessuno che si metta una mano sulla coscienza!


Quegli stessi diritti alla privacy sono stati infatti regolarmente calpestati una volta che ci si è trovati dall' "altra parte". Appena acquisito un piccolo e agognato potere, ci si è subito arrogato il diritto di abusarne. Per cui, nonostante le richieste insistite di rimediare a una situazione in evidente contrasto con le leggi vigenti in materia e nonostante qualcuno sia stato talmente gentile da mettergli in mano anche la "soluzione in 30 minuti", tali richieste non hanno ancora avuto alcun riscontro.


Forse qualcuno crede che di fronte al Garante una ridicola argomentazione, fatta di infantili giochi di parole, avrà la meglio sui diritti di qualcun altro. Non sarebbe in effetti una gran novità vedere il "debole" che patisce, nonostante le leggi, i soprusi, l' arroganza e le furberie del "forte". Penso però che, nonostante si sia sempre in Italia e non nel fatato mondo dei sogni dove la Giustizia regna sovrana, non sarà questo il caso. E proprio per questo motivo, se al termine dei prossimi 8 giorni non si sarà provveduto a soddisfare la legittima richiesta inoltrata da diversi utenti, non resterà altra scelta che passare alle vie di fatto, le cui conseguenze potrebbero essere molto spiacevoli per il webmaster di luogocomune.


Qualche giorno fa questo parlava inoltre di voler ripulire il database degli iscritti "fasulli", al fine "di rendere la cifra sempre più vicina a quella reale". Vorremmo dare il nostro contributo anche in questa opera, suggerendo che se si continuerà a conteggiare anche le persone che chiedono la revoca della propria iscrizione, si otterrà un numero di iscritti ancora una volta fasullo.


Il secondo thread che mi interessa segnalare è invece questo. Infatti Pier69 si dice preoccupato della sicurezza dei propri PM custoditi sui server di LC. Esordisce osservando preoccupato che in "alcuni blog si straparla di privacy a vanvera e qualcuno continua a smanettare su LC in cerca di informazioni" . Chiede aiuto quindi ai responsabili del sito, per poter mettere al riparo da occhi indiscreti questi messaggi. La logica però non gli è amica ancora una volta: se qualcuno parla a "vanvera" di sicurezza dei dati, come mai si fa prendere dal panico? Dusty, sysadmin (eresia! -direbbe qualcuno) di LC, lo tranquillizza, dicendo che solo con un "hackeraggio" questi dati potrebbero essere sottratti. Ma questo naturalmente è azione illegale, pertanto scatterebbe la conseguente denuncia.


A questo punto è del tutto evidente che siamo d' accordo almeno su questo: le leggi ci sono. Vanno applicate. Chi le infrange va denunciato. Ma aggiungo: sarà bene che qualcuno se lo ricordi, perchè le regole non valgono solo per gli altri.


Detto ciò, mi piace soffermarmi ancora un attimo sulla risposta di Dusty, che continua così: "Si è già discusso della cosa, e gli unici che hanno la possibilità di accedere a tali informazioni sono il proprietario del sito, il vice e l'amministratore tecnico (io)."


E' vero: se ne è già discusso. Qui. E la sua risposta in merito alla questione sollevata è stata la seguente: "Il sito funziona con il software xoops, e quindi le limitazioni sono normalmente quelle dovute a quel software.In particolare tale sistema non permette a nessuno, nemmeno agli amministratori di leggere i PM, ed è facilmente verificabile nei manuali operativi sul sito ufficiale (oppure basta installarlo e fare una prova e verificare)."


Dusty è stato insincero allora e lo è anche adesso, lasciando intendere che una risposta univoca sia stata già data all' epoca e che è equivalente a quella appena fornita. Seguendo il suo saggio consiglio, ormai verifico tutto. E il più delle volte scopro un castello di falsità, costruito su omissioni e distorsioni.


Resta solo da vedere se le verifiche del Garante porteranno alla stessa conclusione.



7 commenti:

Anonimo ha detto...

(by Jena)
Anche in questo caso, si ha prova di buona volontà, ma di scarsa competenza.

Dal punto di vista tecnico, i PM sono semplici record in una tabella, punto.
Per quello che ho potuto vedere da una veloce occhiata ai sorgenti di xoops, non sono utilizzati permessi distinti fra le varie tabelle. Una persona che ha accesso al codice del sito (il legittimo proprietario, i responsabili del sito, ma anche chi ha in qualche modo accesso al server) ha oppure può avere in pochi secondi i dati necessari a collegarsi al DB del sito, semplicemente leggendo un paio di righe tra i sorgenti del sito. Una volta connessi al DB ed autenticati (legittimamente, si spera), TUTTI i dati contenuti sono accessibili... altrimenti il sito non funzionerebbe ;-)

Ma questo non è di per sè un male, perché in fondo le chiavi della cassaforte bisognerà pur darle a qualcuno. E per definizione, l'amministratore deve essere degno della massima fiducia, visto che avrà accesso a TUTTI i dati.

Il problema è che se sento parlare di "hackeraggi" come di cose astrali scuoto la testa. Il fatto alla base è che, di fronte ad un'elevata preparazione tecnica, molte cose apparentemente impossibili diventano quasi semplici. Un esempio? Io ho letto il resoconto della prova di un vero mostro che, munito di liberatoria firmata dal responsabile della sicurezza di una multinazionale ed alla presenza dello stesso, ha impiegato meno di DIECI MINUTI a "sfondare" le varie protezioni e a muoversi liberamente in un'area critica della loro struttura di rete... il tutto ovviamente da una banale connessione ADSL.
Ah,l'azienda in questione è un colosso della new-technology, con fatturato misurabile in TANTI milioni di euro.

Se un pisquano cinese o coreano (o quello che volete purché sia preparato) decide di sfondare un certo sito, le probabilità sono a suo favore, a meno che non ci sia dall'altra parte un sistemista estremamente preparato (o un hacker, ma di quelli veri...). E le tracce della forzatura non sarebbero così evidenti: non si fanno milioni di tentativi a casaccio, si sfruttano i bachi esistenti nei programmi, che spesso sono sconosciuti ai più.

Morale della favola.
Ritenete estremamente importante la riservatezza? Non usate le email nè tantomeno un forum/blog. Oppure cifrate i messaggi con un software di crittografia, anche se prima di usarli vi consiglio di documentarvi sul loro funzionamento. La paranoia del "assolutamente sicuro" mi fa sorridere: a me non interessa tenere lontane strane ed ombrose agenzie governative. Mi accontento di non farmi fregare da qualche ragazzino spippolatore di tasti e/o fruitore di codice altrui...

Jena.

bifidus ha detto...

Ciao Jena,
sarai anche "collaborativo", ma non hai proprio pietà :D!
Dopo questo tuo commento gli incubi di qualcuno saranno infestati di spippolatori con gli occhi a mandorla (ma sotto sotto: circoncisi anch' essi)!
Ciao

Anonimo ha detto...

non ci vuole molta competenza, per xoops esistono molti exploit pubblici...
andate su: http://www.milw0rm.com/search.php

e fate una ricerca con la parola xoops :D

dite che hanno aggiornato all'ultima versione di xoops ? ; )

Anonimo ha detto...

(by Jena)

Non è solo Xoops a dover essere aggiornato, con i suoi moduli, ma anche e soprattutto
- Webserver (apache)
- PHP (linguaggio script)
- mysql (alcune vecchie versione avevano grossi problemi)
- core SO: non è che solo perché si chiama LINUX è invulnerabile...

Vi consiglio una simpatica paginetta
http://flussodicoscienza.it/2007/03/02/quando-lattacco-informatico-si-puo-evitare/#comments
che descrive un attacco realmente avvenuto. L'admin del sito si è incacchiato parecchio, ma forse un pochino di umiltà & rispetto sarebbero da apprendere.

Jena.

Anonimo ha detto...

bhe si vero, ma aggiornare webserver , so ecc ecc dovrebbe spettare a chi offre il di hosing del sito...

Anonimo ha detto...

a chi offre il SERVIZIO di hosing del sito...

:P

bifidus ha detto...

Ehm, Jena:
non so se ricordi, ma qualche giorno fa ho lasciato un commento, in cui mi dicevo un pò preoccupato della salvezza del DB. Leggendo quanto dici e sopratutto dopo il link che hai segnalato, non mi meraviglierei troppo se il sito LC finisse interamente a gambe all' aria!
E' già successo qualcosa del genere! Ora non trovo il link (ma non ho fatto una gran ricerca), ma mi pare di ricordare che Refosco, il precedente amministratore di sistema, era stato "richiamato in servizio" proprio in procinto del primo passaggio su Matrix degli argomenti dei complottisti. Refosco, anima candida, l' aveva rimesso in piedi (anche se non è noto quale fosse il problema), per poi vedersi dare il ben servito alla prima divergenza di opinioni con il grande puffo.
Visto tutto questo, non è che servano dei gran profeti per dire che presto o tardi ricapiterà. Ed è facile che si proclamerà il martirio del sito italiano che per primo aveva svelato l' Inganno Globale. :)

E comunque, hai visto che un pò profeta lo sono? NESSUNO ha mosso dito nè per i problemi che hai rilevato, nè tantomeno per la soluzione che hai proposto.
Ciao