di  -  lunedì 6 Giugno 2011

La cronaca nera informatica degli ultimi mesi, ha senza dubbio un fattor comune a tutti noi ben noto, Sony, che nelle sue varie declinazioni (Entertainment, BMG, Pictures…) ha subito un notevole numero di attacchi, quasi come questo tipo di azione fosse lo sport preferito da numerosi crackers in giro per il mondo. Probabilmente tutto è iniziato qualche annetto fa con, a ragion veduta, l’infelice decisione di escludere l’installazione di Linux dalle possibilità offerte dalla PS3, con conseguenti battaglie anche legali sulla questione della legittimità o meno dell’operazione.

Da lì a poco infatti, sono cominciati a fiorire hack per violare i protocolli di sicurezza della piattaforma, e non molto tempo dopo il noto GeoHot ha definitivamente trovato le chiavi di root per permettere l’esecuzione arbitraria di software e giochi pirata sulla console. Anche qui sono passati dei mesi tra avvocati e nuove versioni del firmware, ma alla fine pare che Sony non abbia trovato la strada giusta per arginare il fenomeno, ed anzi le varie dichiarazioni e le azioni intraprese paiono aver fatto arrabbiare ancora di più i “cattivoni” delle rete, che hanno attinto a tutta la loro fantasia per violare uno dopo l’altro tutti i “castelli” eretti dall’azienda giapponese.

Moralmente, ed anche giuridicamente, trovo decisamente scorrette le azioni di questi gruppi di crackers, sia perché si tratta di reati penalmente perseguibili, sia perché nel tentativo di colpire un’azienda si finisce sempre con il danneggiare il consumatore, spesso pagante, ignaro colpevole utilizzatore di una qualche declinazione del mondo Sony. Credo che il danno di immagine sia davvero devastante per questa azienda, soprattutto in un periodo come questo che segnerà nel giro di pochi anni il passaggio ad una nuova generazione di console, generazione nella quale i servizi web-based saranno sempre più importanti e sarà necessaria una dose di fiducia sempre maggiore verso chi gestisce i nostri dati e spesso il nostro denaro.

Al di là però della questione morale, vorrei soffermarmi sulla questione tecnica: è possibile che uno dei più grandi colossi dell’elettronica e dell’intrattenimento mondiale, abbia un sistema informatico così vacillante al punto che con una “semplice”  SQL Injection lo si possa bucare senza problemi? Ed è possibile che le password di milioni di utenti non siano minimamente cifrate prima di essere memorizzate sui server, così come esposto dall’ultimo attacco a Sony Pictures? La cosa che mi lascia senza parola è la leggerezza con la quale aziende di questo calibro affrontano le tematiche di sicurezza, è scioccante!

Vengono commessi degli errori davvero da principianti, e mi stupisce come con a disposizione budget di un certo livello si possano affidare a programmatori, evidentemente mediocri, delle aree così importanti del business di un’azienda, ossia l’interfaccia verso il cliente. Io di mestiere faccio il programmatore, ma mai nel mio piccolo mai sognerei di realizzare un sito web senza un filtro anti-injection o senza adottare delle tecniche (vedi stored procedure, ad esempio) atte ad arginare il problema, così come mai lascerei transitare in chiaro delle password o peggio ancora memorizzarle senza prima passargli sopra con qualche algoritmo di hash (a tal proposito, vi rimando ad un articolo che vi espone alcuni dei problemi comuni quando si tratta con le password e che potete rileggere qui).

Ma siamo sicuri che il problema sia solo di Sony? Ora è facile attaccare l’azienda giapponese additandola come l’esempio della cattiva gestione delle problematiche informatiche, ma temo che la situazione sia molto grave anche nel resto del mondo informatico. Sono certo anzi, che se il mirino dei crackers fosse puntato verso una qualsiasi big del settore (nel momento in cui scrivo pare che gli stessi attentatori di Sony stiano colpendo anche Nintendo!), i risultati potrebbero essere altrettanto devastanti e sarebbero numerose le aziende a cadere miseramente, e le cronache degli ultimi 6 mesi mi fanno tornare in mente attacchi simili anche verso aziende con un impatto mediatico inferiore, ma pur sempre custodi di molti dati sensibili di un nutrito gruppo di persone (notizia di poche ore fa, anche uno dei siti europei di Acer è stato bucato con relativo trafugamento di account e credenziali varie).

Purtroppo si tende a sottovalutare molto velocemente il problema delle sicurezza, e tolti forse solo gli ambiti bancari che sono naturalmente più esposti a subire un certo tipo di attacchi e che quindi hanno una sensibilità maggiore, direi che abbiamo ben poco da stare tranquilli. Più volte in queste pagine ho difeso al meglio delle mie possibilità le tecniche di sicurezza più avanzate, consigliando ai miei lettori di dormire sonni tranquilli, ma non biasimo coloro i quali hanno mosso delle critiche verso queste affermazioni. Spesso, a tutti i livelli, le aziende tendono a badare molto al rapporto con il cliente prima che questo acquisti il loro prodotto e/o il loro servizio, ma subito dopo tendono a dimenticarsene molto velocemente, e credo sia proprio questo uno dei problemi di Sony (e molti altri).

Forse è una questione di cultura informatica, e di certo non vorrei fare di tutta l’erba un fascio, ma molte aziende stanno perdendo un po’ il ritmo e si fanno trascinare da un successo pregresso piuttosto che da capacità tecniche attuali. Peggio per loro però, perché la rete evolve e gli utenti stessi cominciano ad essere più consci di quello che li circonda, e finiranno per rivolgersi solo verso chi potranno considerare affidabile: dal cloud al denaro digitale senza dimenticare i social network, con sempre più informazioni sensibili sparse per la rete non ci si può certo fidare di chi non riesce a comprendere il pericolo di una password lasciata in chiaro.

Mal comune mezzo gaudio? Forse per Sony è meglio pensarla così, ma noi consumatori non dimentichiamo facilmente ed in un mondo in cui l’immagine è fondamentale, queste brutte macchie saranno difficili da lavare e ci vorrà ben di più di un colpo di spugna a suon di denunce per riguadagnarsi la fiducia. Il solo PSN offline per così tanto tempo è un danno enorme che di certo farà perdere una grossa fetta di utenza, la quale magari si rivolgerà alla concorrenza, a pagamento, ma forse più efficiente e sensibile a certe problematiche (ribadisco il forse!).

A questo punto sono davvero curioso di sapere quale sia il vostro punto di vista per un argomento così scottante e di rilievo che ha sicuramente colpito personalmente molti di voi, ma soprattutto vorrei sapere quanto questi episodi demoliscono la vostra fiducia verso il mondo informatico. Riuscirete a fronte di questa situazione ad affidare i vostri file al cloud storage/computing? Io rimango per natura ottimista, e so che ci sono molte aziende che lavorano molto bene e delle quali mi posso fidare con un buon livello di sicurezza, ma di certo tutte queste notizie mi fanno dubitare ancora una volta della leggerezza e della estrema fallibilità umana.

La perfezione in materia di sicurezza non esiste e siamo d’accordo, ma basterebbe davvero poco per rendere tutta la baracca un po’ più sicura… a voi la parola!

19 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    awert
     scrive: 

    “ma di certo tutte queste notizie mi fanno dubitare ancora una volta della leggerezza e della estrema fallibilità umana.”

    la doppia negazione afferma…andrebbe riformulata così

    “ma di certo tutte queste notizie mi convincono ancora una volta della leggerezza e della estrema fallibilità umana.”

  • # 2
    g.
     scrive: 

    se pensi che un paio d’anni fa, per caso, ho scoperto che in un portale di un grosso centro commerciale della zona, in querystring veniva postata l’intera query da utilizzare per recuperare i contenuti mostrati in una popup e peggio ancora… per accedere alla sua amministrazione, bastava inserire come username la voce presente sempre in querystring e come password… provate ad immaginare cosa? (NO COMMENT) e dire che con la mia azienda li abbiamo anche chiamati e il RESPONSABILE IT ci ha detto che aveva contattato gli sviluppatori che gli avevano assicurato che non c’erano problemi di sicurezza…
    ah… ancora oggi se provate non è cambiato nulla!
    mi verrebbe voglia di contattare tutti gli utenti dei curriculum presenti per chiedere loro l’immediata eliminazione dei propri dati dal portale in questione!
    ciao

  • # 3
    Antonio Barba
     scrive: 

    che dire?… Sony sta sperimentando una vera e propria guerra digitale, e ne sta uscendo con le ossa rotte.
    L’accanimento è evidente.

    Detto questo, non sono affatto ottimista sulla questione della sicurezza, in particolar modo quando ci sono di mezzo grossi capitali (cloud computing? social networks?) e l’utente (che brutta parola “consumatore”…), il singolo individuo, non è più cliente ma “merce di scambio” per tale business.

  • # 4
    Herod2k
     scrive: 

    pero una precisazione ci vuole, SONY ha tolto Linux *dopo* GeoHot.
    GeoHot ha trovato la falla nell’Hypervisor e Sony con gli aggiornamenti successivi ha tolto linux per eliminare la falla di sicurezza.

  • # 5
    Luca
     scrive: 

    Il problema al solito sta nella riduzione dei costi. Il software viene sviluppato da grosse softwarehouse che poi lo fanno creare in India da programmatori poco esperti o da aziende che a loro volta subappaltano a ditte cinesi (non è solo un luogo comune:lo fanno veramente!).
    Alla fine sono più bacati i portali di aziende famose piuttosto che i siti web fatti in casa!

  • # 6
    bolkonskijj
     scrive: 

    @awert

    in italiano la doppia negazione nega sempre (quando diciamo “NON ho visto NESSUNO”, chi capisce “ho visto qualcuno” – davvero?)

    quindi la frase formulata da fabio bonomo è ok…

  • # 7
    bolkonskijj
     scrive: 

    (anche perché “dubitare” viene anche usato nell’accezione “non aver fducia in..”)

    pardon il doppio OT

  • # 8
    SamioSeven
     scrive: 

    Sony se le è sempre andate a cercare, agisce da multinazionale troppo prepotente imponendo le proprie scelte a priori, non ascoltando gli utenti/clienti, anzi, tutt’altro!
    Non dimentichiamoci poi dei rootkit che installava in audio cd e/o lettori cd/dvd.
    Forse, dopo ciò, verrà a più miti consigli. Glielo auguro.

    Più in generale, Sony, Microsoft (xbox), Nintendo ed altri, stanno sempre più pressando affinché l’utente non sia più padrone (oltre che del software/giochi) neanche dell’hardware che l’utente stesso ha acquistato.

    In un’epoca in cui dall’altra parte riusciamo a rendere fruibili sistemi OpenSource anche nell’hardware (vedi Arduino) è ridicolo!

    Chi semina vento… recita un vecchio adagio ;)

  • # 9
    Pegaso
     scrive: 

    Sig. Bonomo, purtroppo la qualita’ media dei programmatori e’ relativamente bassa e vale in tutto il mondo.
    Pertanto non stupisce che ci possano essere grossolani bachi anche in applicazioni sviluppate per grandi aziende.
    E’ anche vero che la corsa al prezzo ridotto spinge a tagliare le attivita’ di progettazione e testing e quindi gli errori non vengono trovati.

  • # 10
    Giuseppe
     scrive: 

    Io lavoro per una grande e famosa azienda di telecomunicazioni e il problema sicurezza è fortemente sentito. I dati sensibili vengono criptati utilizzando chiamate a procedure in linguaggi di programmazione non decompilabili (ad esempio chiamate a C da Java).
    I clienti Sony sono persone comuni che non richiedono requisiti di sicurezza quando acquistano un prodotto. I clienti della mia azienda sono, invece, società o enti che pongono l’accento su questa problematica .
    Le aziende, come la Sony o come la mia, badano al profitto e se, apparentemente il profitto lo si fà senza fare attenzione alla sicurezza allora non si farà attenzione alla sicurezza. Ora penso che Sony avrà una batosta che le farà capire che il profitto lo può fare se le cose cambieranno… e vedrete che cambierà. “cosa devo fare per fare soldi?… bene lo faccio”.
    Ciao,
    Giuseppe.

  • # 11
    Andrea R
     scrive: 

    Ma poi il consumatore è veramente irresponsabile oppure è un po’ complice?

    @giuseppe: se si tratta di cifratura allora c’è una chiave e poco importa la segretezza dell’algoritmo.
    Il C è decompilabile, tra l’altro.

    @Pegaso: alcune falle erano assolutamente colpa di sistemisti, che giravano con sw non patchato, mica da progettazione e testing mancanti.

  • # 12
    awert
     scrive: 

    @bolkonskijj

    dubitare non ha l’accezione “non aver fiducia in”. Ti invito a considerare la pagina della treccani

    http://www.treccani.it/vocabolario/dubitare/

    La frase:

    “ma di certo tutte queste notizie mi fanno dubitare ancora una volta della leggerezza e della estrema fallibilità umana.”

    letteralmente comunica il dubbio in merito alla leggerezza e fallibilità umana, mentre il senso che vorrebbe intendere l’autore è proprio l’opposto ovvero le notizie gli danno la certezza (e non il dubbio) della leggerezza e della estrema fallibilità umana.

  • # 13
    ReaToMe
     scrive: 

    Addossare la colpa ai programmatori è risibile.
    Il problema che ha colpito (se così si può dire) Sony è relativo a tutta l’infrastruttura di sicurezza.
    Le carenze sono oggettivamente strutturali, da ricercare in una progettazione approssimativa e superficiale.
    L’eventuale mediocrità dei programmatori è superabile da una corretta progettazione e gestione del processo.
    Peraltro in una infrastruttura di queste dimensioni il modello di deployment è un tuttuno con il software.
    In fase di analisi e progettazione non puoi non pensare a tutto l’insieme.
    Sony ha sbagliato l’approccio.
    Maggiori le dimensioni del sistema, maggiori gli effetti causati dagli errori.

  • # 14
    Hannibal
     scrive: 

    Programmatore, analista, tester, architetto… veramente credete che il problema della sicurezza di un’applicazione web si riduca a questo? E’ colpa del programmatore “mediocre” non aver criptato le password?
    Ma per piacere. Il problema è a monte. E’ nel budget che per definizione è limitato e per cui vengono vanno fatte delle scelte. E purtroppo il più delle volte si spende troppo per le “features” e troppo poco per la sicurezza.

  • # 15
    Cesare Di Mauro
     scrive: 

    E quindi alla fine ti porti a casa programmatori mediocri. Perché da quel che s’è visto finora, non c’è termine più adeguato.

  • # 16
    ReaToMe
     scrive: 

    @Cesare
    Una conclusione un po’ forzata e come ho scritto sopra risibile.
    Semplicemente perchè una infrastruttura di quel tipo non può essere in mano a programmatori e sistemisti.
    Vedo nei comportamenti di Sony grande superficialità e la conseguente responsabilità (in toto) per chi avrebbe dovuto coordinare la gestione del PSN.
    Siano essi tecnici, dirigenti, presidenti…

  • # 17
    Cesare Di Mauro
     scrive: 

    Permettimi: per commettere certi errori bisogna essere proprio dei dilettanti allo sbaraglio…

  • # 18
    Fabio Bonomo (Autore del post)
     scrive: 

    Io credo che abbiate entrambi ragione ragazzi… Il lato sistemistico e dirigenziale è molto importante quando l’infrastruttura è grossa come quella Sony, e ritengo imperdonabile che gli errori commessi in fase di progettazione e gestione. Poi alla fine però se il codice lo scrive il programmatore pagato 1 dollaro l’ora che non è mai stato formato in maniera adeguata, un po’ di colpe ce l’ha eccome!

  • # 19
    ReaToMe
     scrive: 

    Se una azienda come Sony si appoggia a dei dilettanti allo sbaraglio la colpa è dei dilettanti o di Sony?
    Se devo far dei lavori a casa e mi appoggio al muratore + economico, posso lamentarmi e dare addosso al muratore?
    Certamente si, ma per mia moglie probabilmente il colpevole sono io.
    E non credo avrebbe torto.

    ;’)

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.