Credo che la nascita della mia passione per la sicurezza sia da ricondurre ad una ventina di anni fa, gli anni del blue boxing per intenderci. Allora era possibile compiere azioni non del tutto lecite con una estrema semplicità; ricordo ad esempio con un pò di nostalgia l'antidiluviana ITAPAC ed il facile accesso nei primi sistemi VMS o la prima volta che sfogliai i sistemi informativi della casa produttrice dei più famosi zainetti italiani. Poi arrivò Internet e le cose, se possibile, diventarono ancora più semplici: bastava studiare molto poco per potere scrivere semplici script che eseguiti durante la notte ti premiavano l'indomani mattina con l'accesso da root (amministratore) in centinaia di server: la sicurezza era ancora un optional.
Nonostante questi aspetti mi abbiano sempre affascinato, in più di 15 anni di attività nel settore ICT non me ne sono mai occupato professionalmente. Ho sempre continuato a tenermi aggiornato ed a studiare l'argomento durante il mio tempo libero o quando indirettamente ne veniva impattato il mio lavoro quotidiano.
Abbastanza spesso mi capita di riscontrare evidenti buchi di sicurezza sui siti in cui navigono e certe volte lo faccio presente agli amministratori per permettergli di applicare una soluzione, ma generalmente non cerco di approfondire più di tanto.
Questa volta è diverso.
Oracle è una delle più profittevoli e conosciute tra le aziende produttrici di software per la gestione di database e pertanto fornisce i suoi prodotti a multinazionali ed amministrazioni pubbliche di tutto il mondo. Tra gli addetti ai lavori è anche tristemente nota per non dare sufficiente importanza agli aspetti di sicurezza che hanno impatto sui suoi prodotti. Così quando in questi giorni, a seguito di un controllo sulla sicurezza di alcuni sistemi che mi riguardano, ho riscontrato la presenza di un grave problema di sicurezza proprio su un prodotto Oracle ed ho avuto la necessità di verificare quale fosse la soluzione proposta dal produttore, non mi sono sorpreso più di tanto quando ho scoperto che il problema è noto da più di 6 mesi e che Oracle non solo non ha distribuito una patch per la sua risoluzione ma non ha neanche confermato l'esistenza del bug.
Facendo una semplice ricerca su Google ho potuto constatare come questo problema di sicurezza è presente in centinaia di portali anche qui in Italia. Tra aziende, istituzioni e banche questa vulnerabilità permette di accedere ad un numero molto alto di documenti riservarti o comunque non per uso pubblico.
A titolo di esempio riporto il caso di due banche che per via di questa vulnerabilita' rendono disponibili online il loro archivio di curriculum vitae presentati da decine di migliaia di ragazzi. Questi curriculum contengono tutti dati necessari per potere commettere l'ormai noto reato di furto di identità: nome, cognome, foto, data di nascita, residenza, codice fiscale, mail, numero di cellulare ed in alcuni casi anche la firma! Ma a prescindere da questo aspetto la possibilita' di accedere a queste informazioni e' una palese violazione delle norme sulla privacy che tali banche dovrebbero rispettare.
Non scendo nel dettaglio degli aspetti tecnici per via della mancanza di tempo e comunque non e' questo blog il posto piu' adatto per tale tipo di discussioni.
Non potendo quindi procedere a contattare direttamente tutti i clienti di Oracle ho semplicemente comunicato l'esistenza del problema alle prime due banche trovate con una semplice ricerca su Google (quelle che rendono pubblici i curriculum vitae di cui parlavo prima) ed inviato una richiesta di risoluzione ad Oracle (non mi aspetto di ricevere alcuna risposta quanto meno a breve termine).
Non potendo quindi procedere a contattare direttamente tutti i clienti di Oracle ho semplicemente comunicato l'esistenza del problema alle prime due banche trovate con una semplice ricerca su Google (quelle che rendono pubblici i curriculum vitae di cui parlavo prima) ed inviato una richiesta di risoluzione ad Oracle (non mi aspetto di ricevere alcuna risposta quanto meno a breve termine).
Iscriviti al feed
Nessun commento:
Posta un commento