EPIC FAIL – Pagina 2 – Attivissimo.me

Come liberare spazio sulla rete informatica universitaria: basta cancellare tutti i dati e gli account

2021-04-08
di Paolo Attivissimo
backup, disastri informatici, EPIC FAIL, ReteTreRSI

Se pensate che la vostra giornata informatica stia andando maluccio, consolatevi: c’è qualcuno a cui è andata assai peggio.

Un paio di settimane fa i tecnici informatici della Victoria University di Wellington, in Nuova Zelanda, hanno avviato una procedura di manutenzione che aveva lo scopo di liberare spazio sulla rete informatica universitaria.

Il loro intento era eliminare i profili degli ex studenti che non erano più iscritti, ma le cose sono andate un po’ diversamente dal previsto, e la storia ha fatto il giro del mondo.

Infatti, come riferiscono Ars Technica e una delle riviste degli studenti, The Critic, l’eliminazione ha avuto una portata leggermente superiore alle intenzioni: sono scomparsi anche i file dai desktop degli studenti attivi e i loro computer sono stati azzerati.

Si sono salvati soltanto i dati presenti sui dischi di rete dell’istituto e quelli custoditi sul cloud OneDrive di Microsoft. Alcuni studenti lamentano di aver perso un anno intero di dati che erano salvati esclusivamente sui loro computer locali (che ora, appunto, sono azzerati).

L’ipotesi formulata da Ars Technica è che si sia trattato di un errore di policy in Active Directory.

Disastri come questo sono sempre un promemoria importante della necessità di fare backup personali dei dati essenziali, anche se quei dati risiedono su una rete informatica che in teoria dovrebbe farne copie di sicurezza automaticamente.

In una situazione aziendale, tuttavia, le cose si complicano per via della necessità dell’azienda di tutelarsi (e tutelare i propri clienti) contro le fughe di dati. Sarebbe spiacevole che i dipendenti si portassero a casa la contabilità dell’intera società o i piani e progetti riservati, per poi dimenticarseli in giro o farseli rubare. Per non parlare dei dipendenti che attraversano la frontiera Svizzera-Italia con i dati bancari confidenziali dei clienti, ma questa è un’altra storia.

Morale della storia: se i dati sono strettamente vostri (una tesi, per esempio), non affidatevi ciecamente al reparto informatico pensando che tanto provvederanno loro di farne una copia. Fatela voi, fatene più di una, verificate periodicamente che siano leggibili e custodite il tutto con cura. Se invece i dati sono dell’azienda, parlate con il reparto informatico e verificate che ne venga fatto periodicamente un backup custodito in modo sicuro. In particolare, chiedete cosa succede ai dati salvati localmente.

Hai dimenticato la password? Nessun problema: questo sito di e-commerce italiano non la controlla

Mi è stato segnalato un sito di commercio online italiano che ha definitivamente
risolto il problema degli utenti che dimenticano le password usando una
soluzione decisamente originale: non controlla la password.

Incuriosito e leggermente incredulo che qualcuno possa commettere uno
scivolone del genere, vado alla home page del sito, clicco su Login e
mi registro.

Il sito è perentorio: la password deve essere lunga almeno sei caratteri e
deve contenere almeno un numero. Perché la sicurezza è una cosa seria. Va
bene: immetto una password conforme.

Ricevo dal sito la mail che mi invita a cliccare su un link o immettere un
codice per confermare e attivare il mio account. Faccio quanto richiesto, e mi
scollego.

L’account funziona: posso entrare e vedere il mio profilo. Posso scegliere
prodotti e metterli nel carrello.

Faccio logout, rientro facendo login, scrivo il mio indirizzo di mail e
lettere a caso nel campo della password, ed ecco che mi ritrovo nel mio
account.

Ma dai, sarà un errore mio. Magari il sito usa un cookie per fare a
meno di digitare la password. Però la password me l’ha chiesta.

Provo con un altro browser, che non ho mai usato per fare login a quel sito.
Scrivo il mio indirizzo di mail, scrivo lettere a caso nel campo della
password…. e sono dentro di nuovo.

Provo a questo punto su un altro computer. Vado alla home page, clicco su
Login, immetto il mio indirizzo di mail e tre caratteri random
nel campo della password, violando quindi anche la regola dei sei caratteri
minimi obbligatori… e sono di nuovo nel mio account.

Posso vedere i dati del mio profilo: nome, cognome, indirizzo di casa, numero
di telefono. Se avessi fatto ordini, probabilmente potrei vedere anche quelli.

Ho trovato sul sito l’indirizzo del responsabile della protezione dei dati
(DPO) e gli ho scritto oggi quanto segue:

Buongiorno,

sono Paolo Attivissimo, giornalista informatico. Vi
segnalo che è possibile entrare nel vostro sito di e-commerce
[omissis] digitando qualunque cosa al posto della password, anche
semplicemente tre lettere a caso.

Questo consente a chiunque di
accedere ai dati personali dei vostri clienti semplicemente conoscendone
l’indirizzo di mail.

Ritengo che questo configuri una grave
violazione della sicurezza e della privacy dei vostri clienti, con potenziali
ripercussioni in termini di GDPR.

Vi invio questa segnalazione
affinché possiate rimediare. Qualora dovessero trascorrere 15 giorni di
calendario dalla segnalazione senza un vostro riscontro, riterrò assolto il
mio dovere di “responsible disclosure” e mi riserverò a quel punto l’opzione
di pubblicare i dettagli la notizia nell’interesse dei vostri clienti.

Ho
pubblicato un articolo preliminare, senza citare il vostro nome, presso
Disinformatico.info.

Cordiali saluti
Paolo Attivissimo
Lugano,
Svizzera

Vediamo che succede.

2021/02/21 19:50. Stando alle prime indicazioni, il problema riguarda
gli account creati di recente; gli utenti che hanno account sul sito da
parecchio tempo segnalano che per loro le password sbagliate vengono
rifiutate.

2021/02/21 20:30. Ora il sito non accetta più qualunque cosa al posto
della password, ma in compenso non accetta neanche la password
effettiva dell’account che ho creato. Ho cliccato su
“Ho dimenticato la password” per resettarla e mi è arrivato
correttamente via mail il link per resettarla. L’ho cambiata e ora non mi
accetta neppure questa.

2021/02/22 16:20. Oggi ho ricevuto una mail dal DPO che mi ha
ringraziato per la segnalazione, che è stata presa in carico dall’azienda.
Sono in corso verifiche e l’accesso, mi dice sempre il DPO, è ora possibile
soltanto immettendo nome utente e relativa password. Dice inoltre che mi
aggiornerà sui risultati delle verifiche. Ho fatto di nuovo il reset della
password e ora entro correttamente soltanto con la mia password effettiva.

2021/02/22 20:05. Su richiesta dell’azienda, ho modificato l’immagine
che rappresenta il tentativo di login.

Giuseppe Povia, cantante sismologo, spiega l’origine dei terremoti

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

“la terra è in continuo movimento naturale, ci sono scosse di assestamento etc ma la terra è anche popolata da 7 miliardi di persone che si muovono e questa potrebbe essere un’altra causa.”

Così scrive su Facebook Giuseppe Povia. Screenshot:

Come dice @sp_rocco, attendiamo impazienti la spiegazione dell’origine dei tornado.

Ricordiamoci di casi come questo quando sentiamo una celebrità (o un premio Nobel per la letteratura) che “garantisce” tesi di complotto o rimedi di pseudomedicina. Essere famosi non rende tuttologi, ma espone al rischio di dire stupidaggini di fronte a un pubblico più vasto. A volte il silenzio è una strategia vincente.

Se vi interessano i calcoli dell’ipotetico effetto di 7 miliardi di persone che si muovono, Xkcd fa al caso vostro.

2014/01/22. Oggi il Corriere ha pubblicato un articolo che stranamente ricalca esattamente questo mio, compresa la citazione di Xkcd. Naturalmente senza indicare la fonte che l’ha ispirato. Giornalismo.

Un altro giorno, un altro documento con password del server visibile in Google: Regione Veneto

Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.

— Paolo Attivissimo (@disinformatico) January 22, 2021

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Nonostante quattro anni di preavviso, siti istituzionali bloccati dalla disattivazione di Adobe Flash: il Portale ECM della Regione Lombardia

2021-01-23
di Paolo Attivissimo
aggiornamenti software, EPIC FAIL, Flash

La disattivazione di Flash, annunciata quattro anni fa, ha comunque
colto impreparati molti siti. Un esempio:
www.ecm.regione.lombardia.it, che è il portale della Regione Lombardia che serve per accedere
all’educazione continua in medicina (ECM) e ai suoi accreditamenti, ora e da
vari giorni mostra questo:

@The_Beyond_One, che mi ha inviato la
segnalazione, dice che l’accesso è bloccato dal 12 gennaio. Siamo al 23 ed è ancora
così.

Complimenti vivissimi a tutti i responsabili del sito.

Fonte aggiuntiva:
Giornalettismo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.

Sì, l’accordo per la Brexit cita davvero Netscape Communicator (1997) come software “moderno”

2020-12-30
di Paolo Attivissimo
Brexit, crittografia, EPIC FAIL, leggi idiote, Netscape

Il testo dell’accordo in extremis fra Regno Unito e UE sulla Brexit contiene davvero questa perla, a pagina 921, in una sezione dedicata alla tecnologia crittografica: una citazione di Netscape Communicator, la cui ultima versione risale al 1997, che viene definito “moderno”.

“s/MIME functionality is built into the vast majority of modern e-mail software packages including Outlook, Mozilla Mail as well as Netscape Communicator 4.x and inter-operates among all major e-mail software packages.”

Sempre a pagina 921, il documento raccomanda inoltre di utilizzare cifratura RSA a 1024 bit e l’algoritmo di hashing SHA-1: entrambi sono obsoleti e insicuri.

“the encryption algorithm AES (Advanced Encryption Standard) with 256 bit key length and RSA with 1024 bit key length shall be applied for symmetric and asymmetric encryption respectively,
– the hash algorithm SHA-1 shall be applied.”

Ricordo che questa non è una bozza: è il testo approvato dall’UE e presumibilmente definitivo se verrà approvato anche dal Regno Unito (lo si decide oggi). In tal caso entrerà in vigore dopodomani, 1 gennaio 2021.

Questo vi dà un’idea di quanto sia raffazzonato l’accordo dal quale dipendono le sorti di decine di milioni di britannici. Quell’accordo che per quattro anni è stato spacciato dal governo britannico come facile e “pronto da mettere in forno” e come una grande opportunità di crescita per il Regno Unito, e invece è stato scritto col copiaincolla ficcandoci dentro perle come questa pur di poter dichiarare di aver trovato una soluzione e avere un malloppo di carta da mostrare alle telecamere.

Come si è arrivati a uno sconcio del genere? È possibile che il blocco di testo su Netscape sia stato semplicemente copiaincollato da una norma UE del 2008.

Fonti aggiuntive: Kevin Beaumont, BBC.

Una sezione di Tim.it porta a un sito porno. Ops

Se visitate Authwifi.tim.it, in questo momento compare questo:

Non so cosa voglia dire “Pagina con utente non profilato”, ma se si prova a cliccare sul logo, si viene dirottati su un sito, uhm, inequivocabile.

Per gli increduli, la copia permanente è qui su Archive.is. Per chi arrivasse troppo tardi dopo un ravvedimento operoso da parte di Tim.it, ecco una registrazione.

Secondo un commento arrivato dopo la pubblicazione iniziale di questo articolo, Sensi Unici è il nome di un servizio per adulti che veniva offerto da Tim.

Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza informatica

2020-11-06
di Paolo Attivissimo
EPIC FAIL, falle di sicurezza, ReteTreRSI

Il sito Test your Hacker IQ è partito con buoni propositi: mettere alla prova la competenza degli utenti nel riconoscere i sintomi di un attacco informatico. Ma non provate a visitarlo, perché al momento non è raggiungibile.

Come segnalato da The Register, il sito dedicato alla sicurezza informatica aveva dimenticato di proteggere il proprio file di configurazione, che era quindi pubblicamente accessibile.

All’interno di questo file, in chiaro, c’erano il nome utente e la password di accesso al database mySQL del sito. La falla è stata scoperta da una persona svizzera che si occupa di informatica ed è nota con il nome Twitter @antiproprietary.

Il sito, come se non bastasse, usava Ubuntu Linux 14.04, che non riceve più aggiornamenti da aprile del 2019 e ha 11 falle note.

Il sito era stato creato alcuni anni fa nell’ambito di una campagna promozionale ma era evidentemente stato abbandonato senza manutenzione. Anche i siti non aggiornati e dimenticati sono appigli molto preziosi per i criminali informatici e sono una falla classica in molte aziende.

Insomma, la lezione di sicurezza informatica c’è stata, ma non quella prevista.

Un sito di e-commerce italiano “custodisce” i dati dei clienti. Senza password

2020-09-28
di Paolo Attivissimo
disastri informatici, EPIC FAIL, password

Ultimo aggiornamento: 2020/09/28 13:25.

Oggi (27/9) mi è stato segnalato che c‘è un sito di e-commerce italiano che custodisce (si fa per dire) i dati dei propri clienti senza usare password. Basta tirare a indovinare il numero di login, e si entra.

A ogni cliente viene infatti semplicemente assegnato un numero di login progressivo. Per vedere i dati degli altri basta digitare quel numero.

Digitando un numero di login esistente (i numeri sono a sei cifre e sono sequenziali) si entra nell’account senza ulteriori formalità.

Si leggono i dati dell’utente.

I dati di tutti non sono solo visibili a chiunque tramite una semplice enumerazione dei login (ossia tentandoli tutti in automatico, uno dopo l’altro), ma sono anche modificabili. Senza password. Un utente mi ha dato il permesso di provare a cambiare i dati del suo account. Sì, sono modificabili.

La Privacy Policy dice che i dati “Saranno custoditi con le misure… di sicurezza adeguate” (ho alterato il testo per non consentire di identificare il sito, ma il senso è quello). Certo, come no. E la policy dice che l’azienda, in caso di violazione dei dati personali, notificherà entro 72 ore al Garante Privacy.

C’è un cordialissimo servizio di assistenza clienti:

Vediamo se funziona, anche se quello che ha bisogno di aiuto non sono io, ma il DPO del sito. Gli ho scritto questo: “Buongiorno, sono un giornalista informatico. Mi è stato segnalato che tutti i dati dei vostri clienti sono accessibili e modificabili semplicemente digitando i loro numeri di login. Chiunque potrebbe entrare e vedere, cancellare o alterare uno per uno i dati dei vostri clienti. Sono a disposizione per eventuali chiarimenti.”

Messaggio inviato. Giusto per chiarezza: per colpa dell’incredibile incompetenza di chi ha creato questo sito, chiunque potrebbe entrare nel sito e acquisire, cancellare o alterare sistematicamente tutti i dati dei clienti.

Vediamo che succede fra 72 ore.

2020/09/28 13:25

Stamattina mi ha scritto il direttore commerciale dell’azienda, in risposta alla mia segnalazione, dicendo che la sua software house è già stata incaricata di bloccare l’accesso all’area clienti, che adotterà nome utente e
password, e che i suoi consulenti hanno avuto l’incarico di attivare la procedura di data breach secondo policy aziendale e GDPR.

In effetti accedendo all’area clienti ora si vede questo:

Nessuno dei clienti del sito con i quali sono in contatto ha segnalato finora di aver ricevuto notifiche sull’accaduto.

Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

2020-08-27
di Paolo Attivissimo
EPIC FAIL, falle di sicurezza, iOS, MacOS, ReteTreRSI

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.

La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:

file:///private/var/mobile/Library/Safari/History.db

In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.

Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.

Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.

Ringrazio @Decio per la segnalazione.

Guastulfo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Possiamo parlare di sfruttamento, dumping salariale, abuso contrattuale, esternalizzazione del rischio… termini precisi esistono giàSpesso ho visto usare l’espressione “schiavitù…
Paolo Attivissimo su Artemis II, il mio racconto nei media
Ops! Correggo subito, grazie!
Matteo su Artemis II, il mio racconto nei media
Buongiorno Paolo, grazie per il recap, molto utile. Segnalo che il link del 15 Aprile è lo stesso del 4…
Lea su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Io voglio leggere il tuo blog. Se non ce l'hai, fanne uno. ;)
ataru1976 su Artemis II, attenzione alle foto false sui social
Se fai click con la rotellina del mouse invece che con il tasto sinistro, la nuova pagina si aprirà su…
daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Il punto che poni sul costo umano del data labeling è legittimo: molti non ci pensano, e parlarne è utile.…
Paolo Attivissimo su Podcast RSI – Arriva Sora, il ChatGPT dei video, ed è caos
In che senso? Fra l'altro, è inesatto. Non è il primo anello che determina la forza di una catena. È…
Paolo Attivissimo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Daryl, prima di questo articolo avevi mai considerato il problema del costo umano del data labeling? Perché la mia critica…
Paolo Attivissimo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
L'ho spiegato nel mio libro "Moon Hoax: Debunked!": I’m British, but I’ve used US English spelling rules in the book…
daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
ancora IA.... Ciò che hai scritto, Paolo,è forte sul piano emotivo, meno solido su quello logico. Perchè parti da problemi reali,…

Archivi