Office 365, Microsoft paga per la sua nuvola

Redmond è seriamente intenzionata a imporre il suo servizio di produttività personale remota. A costo di comprare letteralmente i clienti. Si comincia dal Nebraska

Roma – La contesa commerciale e tecnologica per il servizio di produttività telematica più popolare si colora di verde, vale a dire il colore dei soldi che Microsoft ha fornito a un cliente di alto profilo affinché scegliesse la sua piattaforma – Office 365 – piuttosto che una di quelle gestite dai suoi concorrenti.

A Redmond vogliono vincere la sfida del cloud computing e delle tecnologie SAAS (software-as-a-service) a tutti i costi, e l’Università del Nebraska appare ben disposta a raccogliere i frutti di questa determinazione nella forma di 250mila dollari di incentivi per l’adozione della summenzionata piattaforma Office 365 e non solo.

L’ateneo necessitava di un sostanzioso upgrade all’infrastruttura di gestione delle comunicazioni telematiche – email e sistema di calendario – una funzione svolta da Lotus Notes di IBM sin dal lontano 1997 . In molti hanno offerto i propri servigi all’università, ma a quanto pare né Google né IBM hanno fornito condizioni così convenienti come quelle garantite da Microsoft.

Accettare i 250mila dollari di Redmond permetterà dunque all’Università del Nebraska di migrare in toto email e sistema di calendario verso Office 365 , con in più la possibilità di sovvenzionare l’acquisto e il supporto per il software marchiato Microsoft (Windows, Office ecc.) per tutte le attività dell’istituto.

Il passaggio da Lotus Notes a Office 365 avverrà entro i prossimi 18 mesi, assicura il presidente dell’istituto, e oltre a garantire un cospicuo finanziamento per le esigenze IT dell’ateneo permetterà di risparmiare qualcosa come 500mila dollari di spese ogni anno.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • studente loc scrive:
    livorno buu-pisa salva
    è da lol il fatto che ci sia il politecnico e non pisa :Dmeditate gente, meditate :D
    • Skywalker scrive:
      Re: livorno buu-pisa salva
      Non ho capito il nick "livorno buu-pisa salva".L'Università a Livorno è una sede distaccata di quella di Pisa, quindi se anche Livorno fosse stata bucata (e non è nell'elenco) non vedo come avrebbe potuto essere salva Pisa.
  • Pino Marittimo scrive:
    Le Università sono ridicole, si sapeva
    Mi vengono in mente alcuni miei professori di informatica che si riempivano la bocca con discorsi sulla sicurezza, blah blah blah.
  • jeek scrive:
    fake?
    sono uno studente di una delle università coinvolte, facendo una piccola ricerca tra i vari file ho notato che i dati risalgono all'anno scorso. La cosa interessante però è che facendo una ricerca sui nomi di persone che so frequentavano la mia università ai tempi del file (ho cercato una cinquantina di persone prima di stancarmi) non c'è stato nessun riscontro se non di qualche cognome. Secondo i miei calcoli dovrebbero si mancare circa 3000 persone a quell'elenco, però il dubbio sorge: possibile che, nonostante abbiano pubblicato i dati dell'80% degli studenti le persone che che conosco io siano state tutte fortunate? Certo, è possibile, però la matematica di certo non aiuta
    • Marco scrive:
      Re: fake?
      Io ho fatto alcuni test di login presi a caso tra i file violati ed effettivamente qualche login funziona.Oltretutto all'interno di questo file c'è persino il nome cognome di un amico che ha cominciato l'anno scorso l'università del politecnico di Milano, quindi credo siano abbastanza aggiornati.
      • Skywalker scrive:
        Re: fake?
        Marco o Troll?No, perché del Politecnico di Milano sono stati postati solo tre elenchi:25 Utenti appartenente ad un gruppo che si occupa di brevetti, palesemente persone non studenti.22 Utenti appartenenti ad un gruppo che si occupa di marchi, palesemente persone non studenti.160 apparentemente di studenti di DOTTORATO, quindi già laureati.Il tuo amico "che ha cominciato l'anno scorso l'università del politecnico di Milano" come fa ad essere in uno di questi elenchi?!!?Prima fa il dottorato e poi si laurea?Oltretutto che sfiga: al Politecnico di Milano si iscrivono una decina di migliaia di studenti l'anno ed il tuo amico finisce in elenchi che in tutto contengono 207 nominativi?Permettimi, ma c'è qualcosa che non quadra in quanto hai scritto...
    • LuLu scrive:
      Re: fake?
      Se per questo la mia università non è nemmeno stata realmente violata. Hanno semplicemente indicizzato dei dati che già erano di pubblica consultazione.I database del sistema informativo sono per ora al sicuro.
  • entromezzanotte scrive:
    Sono delinquenti. Punto.
    Quello che hanno commesso è un reato. Li prenderanno e avranno la giusta punizione, visto che probabilmente sono anche maggiorenni.Vi ricordo che in Italia e nel resto del mondo civile è un reato entrare in un sistema informatico altrui dotato di QUALSIASI forma di protezione, anche una password di un solo carattere. Quindi se hanno forzato il sistema, di fatto è come se fossero entrati a casa vostra da una finestra forzandone la maniglia.I delinquenti sono loro.
    • panda rossa scrive:
      Re: Sono delinquenti. Punto.
      - Scritto da: entromezzanotte
      Quello che hanno commesso è un reato. Li
      prenderanno e avranno la giusta punizione, visto
      che probabilmente sono anche
      maggiorenni.

      Vi ricordo che in Italia e nel resto del mondo
      civile è un reato entrare in un sistema
      informatico altrui dotato di QUALSIASI forma di
      protezione, anche una password di un solo
      carattere. Quindi se hanno forzato il sistema, di
      fatto è come se fossero entrati a casa
      vostra da una finestra forzandone la
      maniglia.

      I delinquenti sono loro.Come gia' detto piu' di una volta, se tu lasci la tua auto in strada con la portiera spalancata, la chiave inserita e il motore acceso, chi te la ruba e' un ladro, ma tu sei un incoscente, per non dir di peggio.Se bastasse la legge che punisce il furto, spiegaci perche' a casa tua hai una porta con serratura invece di una tenda.
      • entromezzanotte scrive:
        Re: Sono delinquenti. Punto.
        Hai letto bene cosa ho scritto ? Ho scritto di sistemi dotati di protezione, non di auto in strada con la portiera spalancata.In ogni caso, se ti rubano l'auto caricandola sul furgone, la colpa è tua quindi che non l'hai inchiodata a terra?
        • Shiba scrive:
          Re: Sono delinquenti. Punto.
          - Scritto da: entromezzanotte
          Hai letto bene cosa ho scritto ? Ho scritto di
          sistemi dotati di protezione, non di auto in
          strada con la portiera
          spalancata.
          In ogni caso, se ti rubano l'auto caricandola sul
          furgone, la colpa è tua quindi che non l'hai
          inchiodata a
          terra?È colpa tua che ad esempio non hai girato il volante mentre mettevi il bloccasterzo.
    • krane scrive:
      Re: Sono delinquenti. Punto.
      - Scritto da: entromezzanotte
      Quello che hanno commesso è un reato. Li
      prenderanno e avranno la giusta punizione, visto
      che probabilmente sono anche maggiorenni.
      Vi ricordo che in Italia e nel resto del mondo
      civile è un reato entrare in un sistema
      informatico altrui dotato di QUALSIASI forma di
      protezione, anche una password di un solo
      carattere. Quindi se hanno forzato il sistema, di
      fatto è come se fossero entrati a casa
      vostra da una finestra forzandone la maniglia.
      I delinquenti sono loro.E chi dice il contrario ? Ma a te non preoccupa neanche un po' che 4 ragazzi possano giocare con i dati dei tuoi figli cosi' facilmente ?E se invece di pubblicarli avessero preso dati piu' preziosi o modificato i DB ?
    • LuLu scrive:
      Re: Sono delinquenti. Punto.
      Correggo: è un reato anche se non c'è la password... essendo proprietà privata se tu entri senza il consenso del proprietario commetti un reato.Ovvio, se non metti la password sei una testa di c...
      • panda rossa scrive:
        Re: Sono delinquenti. Punto.
        - Scritto da: LuLu
        Correggo: è un reato anche se non c'è
        la password... essendo proprietà privata se
        tu entri senza il consenso del proprietario
        commetti un
        reato.In una rete informatica la mancanza di password equivale a consenso.Tu puoi accedere al sito di PI senza bisogno di nessuna password, e leggere PI non e' reato.Cosi' come digitare una url a caso non e' reato.Se trovo un sito, me lo leggo.E il proprietario del sito non puo' dire che non mi ha dato il consenso perche' il suo sito non e' su google e lui non ha dato l'url a nessuno.
        • shevathas scrive:
          Re: Sono delinquenti. Punto.

          In una rete informatica la mancanza di password
          equivale a
          consenso.
          Tu puoi accedere al sito di PI senza bisogno di
          nessuna password, e leggere PI non e'
          reato.

          Cosi' come digitare una url a caso non e' reato.
          ti direi si al 99.99%, l'eccezione sarebbe url a caso tipo: http://miosito.inv/admin.php?pw=PIPPO :)
          • panda rossa scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: shevathas
            > In una rete informatica la mancanza di
            password
            > equivale a
            > consenso.
            > Tu puoi accedere al sito di PI senza bisogno
            di
            > nessuna password, e leggere PI non e'
            > reato.
            >
            > Cosi' come digitare una url a caso non e'
            reato.
            >
            ti direi si al 99.99%, l'eccezione sarebbe url a
            caso tipo: http://miosito.inv/admin.php?pw=PIPPO
            :)Questo possiamo raccontarcelo io e te, e da un punto di vista puramente tecnico avresti sicuramente ragione morale.Tuttavia questa materia deve essere giudicata da un giudice terzo, senza competenze ne' conoscenze tecniche e per il quale, scriverewww.google.itwww.google.it/search?q=punto-informaticowww.miosito.it/login.php?user=pippo&pw=pippoe' perfettamente equivalente: tasti battuti a casoin piu' c'e' da considerare che io sono un utonto conclamato, che " <i
            uso il computer solo per aggiornare il mio profilo su internet </i
            "e per farlo, doppioclicco sull'icona con la e blu, e il computer poi fa tutto da solo che e' stato mio cugGino a impostarlo cosi'...
          • shevathas scrive:
            Re: Sono delinquenti. Punto.

            Questo possiamo raccontarcelo io e te, e da un
            punto di vista puramente tecnico avresti
            sicuramente ragione
            morale.
            e anche legale. I lucchetti a bassissimo costo li apri anche usando un pezzo di lamiera come chiave. Eppure se alla porta di casa mia metto quel lucchetto e tu per entrare lo devi aprire, anche se si apre mooolto facilmente, se entri commetti reato. La legge dispone che ci sia una protezione, non impone che ci sia almeno un portoncino blindato.
            Tuttavia questa materia deve essere giudicata da
            un giudice terzo, senza competenze ne' conoscenze
            tecniche e per il quale,
            scrivere

            www.google.it
            www.google.it/search?q=punto-informatico
            www.miosito.it/login.php?user=pippo&amp;pw=pippo

            e' perfettamente equivalente: tasti battuti a caso
            il giudice potrebbe anche non averne, il CTU credo che avrebbe un po' di difficoltà a considerare l'ultima stringa casuale.
            in piu' c'e' da considerare che io sono un utonto
            conclamato, che &quot; &lt;i&gt; uso il computer
            solo per aggiornare il mio profilo su internet
            &lt;/i&gt;
            &quot;certo, certo.
            e per farlo, doppioclicco sull'icona con la e
            blu, e il computer poi fa tutto da solo che e'
            stato mio cugGino a impostarlo
            cosi'...in primo luogo nei XXXXXX ci finisci tu, poi sta a te dimostrare che è colpa di tuo cugggino. La responsabilità penale è personale, però se ti beccano su di una macchina rubata e non riesci a dimostrare che t'è l'aveva prestata tuo cugggino i guai li passi tu. Non è il caso di scherzarci molto con queste cose.
          • panda rossa scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: shevathas
            &gt; Questo possiamo raccontarcelo io e te, e da
            un
            &gt; punto di vista puramente tecnico avresti
            &gt; sicuramente ragione
            &gt; morale.
            &gt;
            e anche legale. I lucchetti a bassissimo costo li
            apri anche usando un pezzo di lamiera come
            chiave. Eppure se alla porta di casa mia metto
            quel lucchetto e tu per entrare lo devi aprire,
            anche se si apre mooolto facilmente, se entri
            commetti reato. La legge dispone che ci sia una
            protezione, non impone che ci sia almeno un
            portoncino
            blindato.Non esattamente.Qui siamo di fronte ad una porta, probabilmente anche lucchettata, ma che per aprirla devi pigiare il pulsante giusto di una pulsantiera con migliaia di pulsanti.Tu stai dicendo che le migliaia di pulsanti rappresentano il lucchetto, perche' solo pigiando il pulsante giusto la porta si apre.Io invece sostengo che le migliaia di pulsanti rappresentano l'apertura di migliaia di porte, e io devo solo trovare quello che apre quella porta li'.Del resto non c'e' mica scritto "vietato premere il pulsante sbagliato".Ne' si puo' sostenere che entrare in un ascensore per andare al settimo piano e sbagliare a premere il pulsante, sia un reato.
            &gt; Tuttavia questa materia deve essere
            giudicata
            da
            &gt; un giudice terzo, senza competenze ne'
            conoscenze
            &gt; tecniche e per il quale,
            &gt; scrivere
            &gt;
            &gt; www.google.it
            &gt; www.google.it/search?q=punto-informatico
            &gt;
            www.miosito.it/login.php?user=pippo&amp;amp;pw=pip
            &gt;
            &gt; e' perfettamente equivalente: tasti battuti
            a
            caso
            &gt;

            il giudice potrebbe anche non averne, il CTU
            credo che avrebbe un po' di difficolt&#224; a
            considerare l'ultima stringa
            casuale.

            &gt; in piu' c'e' da considerare che io sono un
            utonto
            &gt; conclamato, che &amp;quot; &amp;lt;i&amp;gt;
            uso il
            computer
            &gt; solo per aggiornare il mio profilo su
            internet
            &gt; &amp;lt;/i&amp;gt;
            &gt; &amp;quot;

            certo, certo.

            &gt; e per farlo, doppioclicco sull'icona con la e
            &gt; blu, e il computer poi fa tutto da solo che
            e'
            &gt; stato mio cugGino a impostarlo
            &gt; cosi'...

            in primo luogo nei XXXXXX ci finisci tu, poi sta
            a te dimostrare che &#232; colpa di tuo cugggino.Materia per avvocati. Lascio al mio legale il piacere della dimostrazione.
            La responsabilit&#224; penale &#232; personale,
            per&#242; se ti beccano su di una macchina rubata
            e non riesci a dimostrare che t'&#232; l'aveva
            prestata tuo cugggino i guai li passi tu. La responsabilita' penale e' personale, nel momento in cui c'e' un reato.E se anche ci fosse reato bisogna pure dimostrare il dolo, che in questo ambito e' piu' difficile.Se si forza un cassetto per asportare il contenuto e' facile dimostrare dolo e furto.Se si entra in un sistema informatico digitando la password per copiare il contenuto, e' un pelino piu' difficile.
            Non
            &#232; il caso di scherzarci molto con queste
            cose.Non ci si scherza: stiamo solo facendo discorsi ipotetici.O e' reato pure parlarne?
          • shevathas scrive:
            Re: Sono delinquenti. Punto.

            Non esattamente.
            Qui siamo di fronte ad una porta, probabilmente
            anche lucchettata, ma che per aprirla devi
            pigiare il pulsante giusto di una pulsantiera con
            migliaia di
            pulsanti.

            Tu stai dicendo che le migliaia di pulsanti
            rappresentano il lucchetto, perche' solo pigiando
            il pulsante giusto la porta si
            apre.
            e se i pulsanti invece di essere migliaia fossero solo 10 ma bisognasse premerli in una particolare sequenza ?
            La responsabilita' penale e' personale, nel
            momento in cui c'e' un
            reato.acXXXXX non autorizzato ad un sistema informatico.
            E se anche ci fosse reato bisogna pure dimostrare
            il dolo, che in questo ambito e' piu'
            difficile.mica tanto. perchè panda rossa si diverte a digitare, <b
            ripetutamente </b
            , stringhe a caso come http://dominio.inv/admin.php?pass=password ?se tu in un parcheggio ti avvicini ad una macchina non tua e la apri puoi sostenere, contro la vigilanza, di esserti confuso. Se passi provando "tutte" le portiere i bagagliai come minimo vieni invitato ad "allontanarti".
            Se si entra in un sistema informatico digitando
            la password per copiare il contenuto, e' un
            pelino piu'
            difficile.
            il reato si verifica non appena tu entri in un sistema in cui tu non sei autorizzato ad entrare, e l'indovinare la password di amministratore non è un valido motivo per venire autorizzato. In altre parole: io posso anche lasciare la macchina con gli sportelli sbloccati e le chiavi nel quadro, ma questo, per quanto il mio comportamento possa essere stato idiota, non significa che tu possa salire e guidarla.Potrebbe esserci buona fede, ma se sei "manolesta" panda, il dimostrarla può essere in salita, molto in salita.
          • panda rossa scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: shevathas
            &gt; Non esattamente.
            &gt; Qui siamo di fronte ad una porta,
            probabilmente
            &gt; anche lucchettata, ma che per aprirla devi
            &gt; pigiare il pulsante giusto di una
            pulsantiera
            con
            &gt; migliaia di
            &gt; pulsanti.
            &gt;
            &gt; Tu stai dicendo che le migliaia di pulsanti
            &gt; rappresentano il lucchetto, perche' solo
            pigiando
            &gt; il pulsante giusto la porta si
            &gt; apre.
            &gt;
            e se i pulsanti invece di essere migliaia fossero
            solo 10 ma bisognasse premerli in una particolare
            sequenza
            ?Siamo sempre li'.Una serratura a combinazione e' un oggetto perfettamente riconoscibile e consueto.Una stringa da digitare nell'url no.E comunque nulla dovrebbe vietare di giocherellare con una pulsantiera di una decina di tasti.E se per caso la porta si apre... ops... :$ scusate... c'e' nessuno... stavo giocherellando coi bottoni e mi si e' aperta la porta... c'e' nessuno? come faccio a chiuderla adesso? vediamo se per caso ci sono le istruzioni dietro la porta... posso entrare? non vorrei fare un danno...
            &gt; La responsabilita' penale e' personale, nel
            &gt; momento in cui c'e' un
            &gt; reato.

            acXXXXX non autorizzato ad un sistema informatico.Si, ma occorre dimostrare il dolo...
            &gt; E se anche ci fosse reato bisogna pure
            dimostrare
            &gt; il dolo, che in questo ambito e' piu'
            &gt; difficile.

            mica tanto. perch&#232; panda rossa si diverte a
            digitare, &lt;b&gt; ripetutamente &lt;/b&gt; ,
            stringhe a caso come
            http://dominio.inv/admin.php?pass=password
            ?esatto: <b
            si diverte! </b

            se tu in un parcheggio ti avvicini ad una
            macchina non tua e la apri puoi sostenere, contro
            la vigilanza, di esserti confuso. Se passi
            provando &quot;tutte&quot; le portiere i
            bagagliai come minimo vieni invitato ad
            &quot;allontanarti&quot;.Esatto, ma nessuno ci prova neppure ad accusarmi di tentato furto.Sarebbe una accusa facilmente smontabile da qualunque avvocatucolo alla sua prima causa.Vengo invitato ad allontanarmi.
            &gt; Se si entra in un sistema informatico
            digitando
            &gt; la password per copiare il contenuto, e' un
            &gt; pelino piu'
            &gt; difficile.
            &gt;
            il reato si verifica non appena tu entri in un
            sistema in cui tu non sei autorizzato ad entrare,...sempre se lo faccio con le peggiori intenzioni...altrimenti ritorniamo alla portiera dell'auto del parcheggio aperta inavvertitamente.
            e l'indovinare la password di amministratore non
            &#232; un valido motivo per venire autorizzato.Nel momento in cui quella password e' "password", il valido motivo e': "non ci credo che questi sono cosi' scemi da usare password come password... ops... lo sono!"
            In altre parole: io posso anche lasciare la
            macchina con gli sportelli sbloccati e le chiavi
            nel quadro, ma questo, per quanto il mio
            comportamento possa essere stato idiota, non
            significa che tu possa salire e
            guidarla.No, guidarda no, ma aprirla si, sempre col beneficio di averlo fatto sovrapensiero...
            Potrebbe esserci buona fede, ma se sei
            &quot;manolesta&quot; panda, il dimostrarla
            pu&#242; essere in salita, molto in
            salita.Certo: i precedenti penali giocherebbero a mio sfavore.
          • shevathas scrive:
            Re: Sono delinquenti. Punto.

            Siamo sempre li'.
            Una serratura a combinazione e' un oggetto
            perfettamente riconoscibile e
            consueto.

            Una stringa da digitare nell'url no.
            perché ?
            E comunque nulla dovrebbe vietare di
            giocherellare con una pulsantiera di una decina
            di
            tasti.o di provare ad aprire lo sportello di una macchina.
            E se per caso la porta si apre... ops... :$
            scusate... c'e' nessuno... stavo giocherellando
            coi bottoni e mi si e' aperta la porta... c'e'
            nessuno? come faccio a chiuderla adesso? vediamo
            se per caso ci sono le istruzioni dietro la
            porta... posso entrare? non vorrei fare un
            danno...
            più che altro è l'aver liberato il pitbull che secca... :D
            &gt; &amp;gt; La responsabilita' penale e'
            personale,
            nel
            &gt; &amp;gt; momento in cui c'e' un
            &gt; &amp;gt; reato.
            &gt;
            &gt; acXXXXX non autorizzato ad un sistema
            informatico.

            Si, ma occorre dimostrare il dolo...
            il problema è che se ti beccano con le mani nel sacco: dai log risulta che panda rossa s'è fatto un giro nel sistema informatico protetto da password, per quanto idiota la pass possa essere sta a panda rossa dimostrare la sua buona fede. Nel penale funziona così.
            Esatto, ma nessuno ci prova neppure ad accusarmi
            di tentato
            furto.
            Sarebbe una accusa facilmente smontabile da
            qualunque avvocatucolo alla sua prima
            causa.
            mica tanto. A meno che non riesca a fornire valide giustificazioni del tentativo di aprire in serie portiere e bauli rischi l'incriminazione.
          • krane scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: shevathas
            &gt; Siamo sempre li'.
            &gt; Una serratura a combinazione e' un oggetto
            &gt; perfettamente riconoscibile e
            &gt; consueto.
            &gt;
            &gt; Una stringa da digitare nell'url no.
            &gt;
            perch&#233; ?

            &gt; E comunque nulla dovrebbe vietare di
            &gt; giocherellare con una pulsantiera di una
            decina
            &gt; di
            &gt; tasti.

            o di provare ad aprire lo sportello di una
            macchina.

            &gt; E se per caso la porta si apre... ops... :$
            &gt; scusate... c'e' nessuno... stavo
            giocherellando
            &gt; coi bottoni e mi si e' aperta la porta...
            c'e'
            &gt; nessuno? come faccio a chiuderla adesso?
            vediamo
            &gt; se per caso ci sono le istruzioni dietro la
            &gt; porta... posso entrare? non vorrei fare un
            &gt; danno...
            &gt;
            pi&#249; che altro &#232; l'aver liberato il
            pitbull che secca...
            :D

            &gt; &amp;gt; &amp;amp;gt; La responsabilita'
            penale
            e'
            &gt; personale,
            &gt; nel
            &gt; &amp;gt; &amp;amp;gt; momento in cui c'e' un
            &gt; &amp;gt; &amp;amp;gt; reato.
            &gt; &amp;gt;
            &gt; &amp;gt; acXXXXX non autorizzato ad un
            sistema
            &gt; informatico.
            &gt;
            &gt; Si, ma occorre dimostrare il dolo...
            &gt;
            il problema &#232; che se ti beccano con le mani
            nel sacco: dai log risulta che panda rossa
            s'&#232; fatto un giro nel sistema informatico
            protetto da password, per quanto idiota la pass
            possa essere sta a panda rossa dimostrare la sua
            buona fede. Nel penale funziona
            cos&#236;.

            &gt; Esatto, ma nessuno ci prova neppure ad
            accusarmi
            &gt; di tentato
            &gt; furto.
            &gt; Sarebbe una accusa facilmente smontabile da
            &gt; qualunque avvocatucolo alla sua prima
            &gt; causa.
            &gt;
            mica tanto. A meno che non riesca a fornire
            valide giustificazioni del tentativo di aprire in
            serie portiere e bauli rischi l'incriminazione.Tutto quello che vuoi.... Pero' mi chiedo solo una cosa: la mia banca e' differente ? E la tua ??? Dobbiamo aspettare che succeda un disastro per rafforzare la guardia o ci vogliamo accontentare dei segnali ???
          • panda rossa scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: shevathas
            &gt; Siamo sempre li'.
            &gt; Una serratura a combinazione e' un oggetto
            &gt; perfettamente riconoscibile e
            &gt; consueto.
            &gt;
            &gt; Una stringa da digitare nell'url no.
            &gt;
            perch&#233; ?Perche' ci sono URL sicuramente lecite ma estremamente incasinate come quelle di alcune query di ricerca di google, per esempio...
            il problema &#232; che se ti beccano con le mani
            nel sacco: dai log risulta che panda rossa
            s'&#232; fatto un giro nel sistema informatico
            protetto da password, per quanto idiota la pass
            possa essere sta a panda rossa dimostrare la sua
            buona fede. Nel penale funziona
            cos&#236;.Mi sta bene.Posso dimostrarla la mia buona fede, visto che la mia intenzione non era quella di impossessarmi di informazioni ma solo di verificare la sicurezza del server.
            &gt; Esatto, ma nessuno ci prova neppure ad
            accusarmi
            &gt; di tentato
            &gt; furto.
            &gt; Sarebbe una accusa facilmente smontabile da
            &gt; qualunque avvocatucolo alla sua prima
            &gt; causa.
            &gt;
            mica tanto. A meno che non riesca a fornire
            valide giustificazioni del tentativo di aprire in
            serie portiere e bauli rischi
            l'incriminazione.A proposito, per l'incriminazione per il tentativo di aprire in serie portiere e bauli serve la denuncia di parte oppure no?Perche' se fosse necessaria la denuncia di parte non e' piu' tentativo di aprire serie di portiere, ma serie di tentativi di aprire una portiera (con denuncia del proprietario della portiera), che verrebbe sicuramente archiviata perche' "mi sono sbagliato, non l'ho fatto apposta, mi scusi...".Mi confermi che si puo' procedere anche senza denuncia di parte?
          • shevathas scrive:
            Re: Sono delinquenti. Punto.
            - Scritto da: panda rossa
            - Scritto da: shevathas
            &gt; &amp;gt; Siamo sempre li'.
            &gt; &amp;gt; Una serratura a combinazione e' un
            oggetto
            &gt; &amp;gt; perfettamente riconoscibile e
            &gt; &amp;gt; consueto.
            &gt; &amp;gt;
            &gt; &amp;gt; Una stringa da digitare nell'url no.
            &gt; &amp;gt;
            &gt; perch&amp;#233; ?

            Perche' ci sono URL sicuramente lecite ma
            estremamente incasinate come quelle di alcune
            query di ricerca di google, per
            esempio...
            http://www.miosito.inv/admin.php?pass=pippo non mi sembra particolarmente incasinata. Potresti tentarti l'errore di battitura ma la vedo molto in salita, a meno che tu non sia l'amministratore di misito.inv e la tua passwrod sia lo stesso pippo.
            Mi sta bene.
            Posso dimostrarla la mia buona fede, visto che la
            mia intenzione non era quella di impossessarmi di
            informazioni ma solo di verificare la sicurezza
            del
            server.
            Infatti chi fa, lecitamente, prove di intrusione si fa rilasciare una liberatoria scritta con la quale il proprietario/amministratore autorizza il tentativo di intrusione. Spesso la liberatoria specifica anche l'ora di inizio dell'attacco e le tecniche usate, e spesso anche le macchine da cui farà partire l'attacco. In difetto della predetta liberatoria la vedo un poco in salita dimostrare la buona fede.
            A proposito, per l'incriminazione per il
            tentativo di aprire in serie portiere e bauli
            serve la denuncia di parte oppure
            no?

            Perche' se fosse necessaria la denuncia di parte
            non e' piu' tentativo di aprire serie di
            portiere, ma serie di tentativi di aprire una
            portiera (con denuncia del proprietario della
            portiera), che verrebbe sicuramente archiviata
            perche' &quot;mi sono sbagliato, non l'ho fatto
            apposta, mi
            scusi...&quot;.
            dovrebbe essere a querela di parte ma non ne sono sicuro. Comunque nel caso di tentativi di una portiera può scattare la buona fede, soprattutto se non ti beccano con in tasca i grimandelli o "spadini" che dir si voglia.
            Mi confermi che si puo' procedere anche senza
            denuncia di
            parte?
    • lul scrive:
      Re: Sono delinquenti. Punto.
      - Scritto da: entromezzanotte
      Quello che hanno commesso &#232; un reato. Li
      prenderanno e avranno la giusta punizione, visto
      che probabilmente sono anche
      maggiorenni.

      Vi ricordo che in Italia e nel resto del mondo
      civile &#232; un reato entrare in un sistema
      informatico altrui dotato di QUALSIASI forma di
      protezione, anche una password di un solo
      carattere. Quindi se hanno forzato il sistema, di
      fatto &#232; come se fossero entrati a casa
      vostra da una finestra forzandone la
      maniglia.

      I delinquenti sono loro.iniziamo col dire che i sistemi non erano minimamente protetti, le tabelle che hanno prelevato erano accessibili a chiunque sappia mettere un host in uno scanner di rete, senza considerare che la legge punisce chi non conserva in sicurezza i dati riservati, equipara le pene a chi non conserva in sicurezza degli esplosivi, qui non c'entra nulla chi entra in casa tua forzando la finestra, è piuttosto che tu hai messo un mucchietto d'oro sul giardino di casa tua accessibile a tuttipensa prima di scrivere
      • Skywalker scrive:
        Re: Sono delinquenti. Punto.
        - Scritto da: lul
        iniziamo col dire che i sistemi non erano
        minimamente protetti, Se non erano "minimamente protetti" non si configura l'acXXXXX abusivo a sistema informatico. Qui le protezioni c'erano ma erano "banalmente" aggirabili.
        le tabelle che hanno
        prelevato erano accessibili a chiunque sappia
        mettere un host in uno scanner di rete, Se era veramente così, avrebbe anche potuto sostenere che ci era capitato per caso. Ma "per caso" in 18 università diventa difficile da sostenere.In ogni caso, copiando e diffondendo quanto visto, anche supponendo fossero entrati per caso, hanno violato in pieno la 196/2003. Per giunta dati illecitamente raccolti.
        senza
        considerare che la legge punisce chi non conserva
        in sicurezza i dati riservati,Si, ma di fronte ad un "ravvedimento operoso" declassa il reato a illecito. Una multa. Mentre l'AcXXXXX Abusivo è comunque un delitto. Penale, si va in carcere. Fino a tre anni.
        equipara le pene a
        chi non conserva in sicurezza degli esplosivi,Veramente è l'Art.2050 del Codice Civile parla di "attività pericolosa", non di esplosivi. E lo scopo per cui la 196/2003 lo cita è perché equiparando il trattamento di dati personali ad una attività pericolosa, si inverte l'onere della prova: devi dimostrare tu di aver protetto bene i miei dati, non io dimostrare che tu non lo hai fatto.Ed in ogni caso ai fini di "risarcimento": siamo sempre nel Codice Civile. L'AcXXXXX abusivo è Penale: si va in galera, non si paga una multa.
        qui non c'entra nulla chi entra in casa tua
        forzando la finestra,Vero, perché l'AcXXXXX Abusivo ad un sistema informatico è cosa diversa dalla Violazione di Domicilio. Sia per me che per il Codice Penale. Perciò andiamoci piano con le analogie, perché possono essere pericolose e portare a sillogismi errati.
        &#232; piuttosto che tu hai
        messo un mucchietto d'oro sul giardino di casa
        tua accessibile a
        tuttiEccolo il sillogismo errato. Se intorno a casa mia c'è scritto che è casa mia, non serve che ci sia una serratura. Tu non puoi entrare nel mio domicilio. Se è un fondo non recintato, e tu sei un Cacciatore munito di regolare licenza di caccia, puoi entrare ma solo per recuperare la selvaggina da te abbattuta e sempre che non mi offra io di portartela.Perciò nel caso del giardino di casa con un inefficace cartello "Proprietà privata" o un muretto di mezzo cm, anche solo superando quel cartello hai già commesso il reato. Poi se prendi anche il mucchietto d'oro, ma anche solo una manciata di terra, commetti un "furto" (se però ti limiti solo a fare una copia del mucchietto d'oro o di terra, e lasci il mucchietto iniziale dove si trovava, non è più un furto). Hai presente classiche le villette inglesi, quelle con l'erbetta davanti? Prova a calcare quel praticello...Se entri in un sistema informatico privo di protezioni, solo per essere entrato non hai ancora commesso un reato. Ma se ci resti dopo che ti è stato detto di uscirne, lo commetti.
        pensa prima di scrivereA volte non basta.
        • krane scrive:
          Re: Sono delinquenti. Punto.
          - Scritto da: Skywalker
          - Scritto da: lul
          Se entri in un sistema informatico privo di
          protezioni, solo per essere entrato non hai
          ancora commesso un reato. Ma se ci resti dopo che
          ti e' stato detto di uscirne, lo commetti.Ok, sono colpevoli si e' capito dall'inizio; anzi siccome c'e' una legge che dice che non possono farlo allora non l'hanno fatto: come potevano del resto essendo vietato ?
    • Skywalker scrive:
      Re: Sono delinquenti. Punto.
      - Scritto da: entromezzanotte
      Quindi se hanno forzato il sistema, di
      fatto è come se fossero entrati a casa
      vostra da una finestra forzandone la
      maniglia.Al massimo forzandone la serratura, non la maniglia.Eppoi piantiamola di fare queste analogie del cavolo: un acXXXXX abusivo ad un sistema informatico è come accedere abusivamente ad un sistema informatico. Sono dati, non oggetti fisici.Le analogie sono cose carine, spesso utili, ma da maneggiare con cura, altrimenti poi si tirano del sillogismi del cavolo tipo "copiare un'idea è come rubare un'auto" o si arriva a termini come "possedere un'idea" o come "apprendere un oggetto".
      I delinquenti sono loro.Loro hanno sicuramente violato la L. 547/93: fino a 3 anni di reclusione su querela della parte offesa. Diffondendo quei dati hanno anche violato la 196/2003.Quelli che li avevano in custodia in molti casi potrebbero aver violato le misure minime richieste dalla 196/2003. Dovrebbe essere penale, ma con un ravvedimento operoso ce la si può cavare con una multa.Quindi di "delinquenti", cioè gente che ha violato disposizioni penali, ce n'è più d'una...
  • kbios scrive:
    Non è una bufala
    In risposta ad alcuni threads precedenti, almeno per Pavia questi sono dati veri: ho trovato il mio nome e quello di tutti quelli che conosco, e la mia password (anche se hashata via md5sum) era corretta.
    • incredulo scrive:
      Re: Non è una bufala
      password del tuo account universitario ? allora chiedi lumi al centro informatico e fatti sentire
    • UniPV scrive:
      Re: Non è una bufala
      - Scritto da: kbios
      In risposta ad alcuni threads precedenti, almeno
      per Pavia questi sono dati veri: ho trovato il
      mio nome e quello di tutti quelli che conosco, e
      la mia password (anche se hashata via md5sum) era
      corretta.Che dipartimento? Perché il mio e quello di tutti i miei compagni di corso non c'è.
  • lalla63 scrive:
    Ma nelle università non è tutto open ??
    Ma le varie facoltà non disdegnano tutte il closed e sono per l'open ??Non ci sono più gli assistenti smanettoni, capelli lunghi un pò unti che mentre leggono Marx configurano i server apache ??Non c'è Linux su tutti i PC ??Ma come è possibile ??
    • incredulo scrive:
      Re: Ma nelle università non è tutto open ??
      Non serve a nulla avere linux su ogni pc dei universitari se non lo configurano bene , l importante è che nei server ci sia il giusto livello di sicurezza ! sinceramente trovo molto improbabile che abbiano scaricato quei dati dal database del server a me sinceramente pare che abbiano preso le mail di coloro che lavorano per l uni e tramite un brute force hanno scovato quelle che hanno la password piu stupida !! sinceramente da un gruppo di hacker mi sarei aspettato di piu a me pare che siano piu ascari che hacker !!
      • lul scrive:
        Re: Ma nelle università non è tutto open ??
        - Scritto da: incredulo
        Non serve a nulla avere linux su ogni pc dei
        universitari se non lo configurano bene , l
        importante &#232; che nei server ci sia il giusto
        livello di sicurezza ! sinceramente trovo molto
        improbabile che abbiano scaricato quei dati dal
        database del server a me sinceramente pare che
        abbiano preso le mail di coloro che lavorano per
        l uni e tramite un brute force hanno scovato
        quelle che hanno la password piu stupida !!
        sinceramente da un gruppo di hacker mi sarei
        aspettato di piu a me pare che siano piu ascari
        che hacker
        !!i dati erano accessibili a tutti facendo solamente una scansione con nmap, non erano protetti in nessun modo, vero non erano linkati direttamente alle pagine ma conoscendo l'indirizzo esatto erano accessibili
        • incredulo scrive:
          Re: Ma nelle università non è tutto open ??
          Sarebbe meglio che le uni interessate anche se dicono di non aver ricevuto nessun attacco mettano un po di ordine nei siti che usano
    • LuLu scrive:
      Re: Ma nelle università non è tutto open ??
      vedessi quello che vedo io...Puoi fare tutto open, ma se il sistema informativo che viene progettato fa acqua da tutte la parti non c'è OS che tenga...Poi è tutto un'altro discorso la sicurezza degli OS... se usi un certo W. puoi fare il sistema informativo più sicuro del mondo, ma sei sempre esposto a qualche rischio...
  • manthasa scrive:
    Anonymous è sempre più forte
    Altro che smantellati! Sia anonymous che gli altri gruppi sono sempre più forte, leggete un pò http://security.devix.it
    • Marcellus scrive:
      Re: Anonymous è sempre più forte
      ho letto, purtroppo.sono dei cialtroni, e dei lamers.giustissimo che li arrestino sulla tazza del XXXXX mentre si puliscono il XXXX, tanto piu' mi sembra di capire ci sia gente arrestata per aver usato l'IP di casa o della propria ragazza, altro che hackers.
      • krane scrive:
        Re: Anonymous è sempre più forte
        - Scritto da: Marcellus
        ho letto, purtroppo.
        sono dei cialtroni, e dei lamers.
        giustissimo che li arrestino sulla tazza del
        XXXXX mentre si puliscono il XXXX, tanto piu' mi
        sembra di capire ci sia gente arrestata per aver
        usato l'IP di casa o della propria ragazza, altro
        che hackers.Ma se sono cosi' lamers com'e' che stanno facendo quello che vogliono dei dati personali di migliaia di persone ?
        • smilzo scrive:
          Re: Anonymous è sempre più forte
          http://search.unibo.it/CMSUniboWeb/UniboSearch/Rubrica.aspx?tab=StrutturePanel&mode=advancedQui trovi in ordine alfabetico tutte le strutture di unibo, con tutti i nomi e i numeri telefonici (di ufficio) delle persone che vi lavoranoil link che ti ho dato è la rubrica di Ateneo che è accessibile a tutti, l'università è una struttura "Pubblica" i dati accessibili non sono sensibili e quello che hanno preso da unibo sono tutti (o quasi) dati a disposizione della utenza, che deve avervi acXXXXX.http://www.unibo.it questo è il portale dove potrete ritrovare praticamente tutti i dati scovati dai così detti hacker (provare per credere)
          • Io Mestesso scrive:
            Re: Anonymous è sempre più forte
            idem con patate per unito
          • krane scrive:
            Re: Anonymous è sempre più forte
            - Scritto da: smilzo
            http://search.unibo.it/CMSUniboWeb/UniboSearch/Rub
            Qui trovi in ordine alfabetico tutte le strutture
            di unibo, con tutti i nomi e i numeri telefonici
            (di ufficio) delle persone che vi lavorano
            il link che ti ho dato &#232; la rubrica di
            Ateneo che &#232; accessibile a tutti,
            l'universit&#224; &#232; una struttura
            &quot;Pubblica&quot; i dati accessibili non sono
            sensibili e quello che hanno preso da unibo sono
            tutti (o quasi) dati a disposizione della utenza,
            che deve avervi acXXXXX.
            http://www.unibo.it questo &#232; il portale dove
            potrete ritrovare praticamente tutti i dati
            scovati dai cos&#236; detti hacker (provare per
            credere)E a te non fastidia neanche un po' che siano arrivati a quei dati da un'altra parte ? Non ti porta a chiederti quali altri dati hanno visto ma non pubblicato ? Non ti chiedi se la tua banca e' differente ? E l'ospedale o la posta ?
    • incredulo scrive:
      Re: Anonymous è sempre più forte
      Sono forti a tavola a pane e carote altro che ! non è certo facenda una guerra cibernetica che risolvi i problemi della rete italiana !!
  • Pasquale Trotta scrive:
    Ringraziamo
    Il ministro dell'istruzione e tutti i fondi che da alle scuole.
  • kakkola scrive:
    Retroscena
    Perché è suXXXXX tutto questo e cosa è sucessso realmente?Per rispondere a questi quesiti occorre un prologo.Attualmente la situazione delle università italiane è quella di avere una gestione delle informazioni estremamente frammentata. Oltre ai centri informatici che gestiscono le informazioni "vitali" (stipendi, contabilità, studenti, didattica, ricerca, etc, oltre a web e posta elettronica) c'è una moltitudine di dipartimenti che tendono a gestirsi da soli (e spesso in maniera dilettantistica e inefficiente) alcuni servizi informatici. E nell'attacco sono stati forzati alcuni piccoli server dipartimentali delle università incriminate. Quindi nessuna notizia sensazionale o problema enorme. Solo la dimostrazione palese che l'eccessiva frammentazione della gestione delle informazioni e l'approccio dilettantistico non sono la giusta risposta. Spero che questa lezione serva per avere maggiore efficienza, ma gli orticelli locali di alcuni baronetti sono duri a morire...
    • FridayChild scrive:
      Re: Retroscena
      Analisi corretta; aggiungerei che in molti casi le strutture periferiche sono in sotto-organico cronico, specie per la parte informatica, cosicche' spesso non c'e' alcun informatico in pianta organica, o magari ce n'e' uno solo che deve fare tutto: il manutentore, il sysadmin, il webmaster, l'helpdesk a utenti interni e esterni, il db manager, il programmatore etc. etc. E il tutto a uno stipendio fermo da anni ai livelli minimi di sussistenza. Risultato: si tira a campare, tempo per fare altro non ce n'e'. Ovvio che cosi' qua e la' saltano fuori dei buchi.Serve quindi una riorganizzazione profonda dei servizi informatici, e anche investire in nuove assunzioni e soprattutto in formazione qualificante. Basta nozze con i fichi secchi.
      • Marcellus scrive:
        Re: Retroscena
        tanto non cambiera' un XXXXX, al massimo si faranno un assicurazione per incidenti di questo tipo e poi secondo voi un sysadmin bravo si ammuffisce a lavorare in un XXXXX di CED universitario ? se e' davvero bravo ha ben altri sbocchi.
        • gugo scrive:
          Re: Retroscena
          Non sono d'accordo. Nella PA ho trovato tanti professionisti seri e preparati. Il problema è che il miraggio del posto pubblico prima ammalia e poi, quando arriva la consapevolezza che il posto pubblico è poco conveniente (sia per gli stipendi da fame che per la pessima organizzazione) spesso si è già fuori mercato del lavoro (a 40 anni un tecnico è già vecchio)- Scritto da: Marcellus
          tanto non cambiera' un XXXXX, al massimo si
          faranno un assicurazione per incidenti di questo
          tipo e poi secondo voi un sysadmin bravo si
          ammuffisce a lavorare in un XXXXX di CED
          universitario ? se e' davvero bravo ha ben altri
          sbocchi.
          • unibo scrive:
            Re: Retroscena
            A bologna ti assicuro che esistono fior di ingegneri informatici, infatti i dati "rubati" sono al 99% disponibili sul sito on-line in quanto dati pubblici relativi alla didattica di Ateneo, solo qualche nome utente e/o password è stata effettivamente hackerata perchè risediente non nei server di Ateneo ma in un qualche pc di docente che per qualche motivo gestiva dei dati per conto suo, su una sua macchiana di dipartimento, ma lì non ci puoi fare niente, la didattica di un docente è assolutamente libera da costrizioni. Tutti i dati sensibili davvero, e dico tutti non sono stati nemmeno sfiorati.
          • Io Me scrive:
            Re: Retroscena
            Falso. Unibo è evidentemente di parte e nega la realtà..... i fatti parlano diversamente.
          • unibo scrive:
            Re: Retroscena
            falso sarai tu, mi sono firmato unibo per chiarezza, non sono unibo sono un Tecnico Informatico eti dico che è come ho detto io, e prima di dire falso presenta un pò di dati reali, falso
          • Marcellus scrive:
            Re: Retroscena
            sei un cialtrone, e il fatto che dati sensibili non siano venuti fuori non vuol dire che no li abbiano copiati.l'unica certezza e' che nessun server e' sicuro, quello che oggi credi sicuro tra 2-3 anni scoprirari che aveva decine di bugs remoti con root access ... e' cosi' per apache, e' cosi' per IIS, si parla di security solo perche' se i clienti sapessero la verita' gli verrebbero i capelli bianchi.
          • Marcellus scrive:
            Re: Retroscena
            non concordo, se uno ha un exploit 0day non c'e' nulla che possiate fare, ed e' esattamente cosi' che hanno fatto sia anonymous che lulzsec, nei casi dove non funzionava hanno fatto un patetico DDOS.e qui sta la truffa dell'open source : non c'e' nulla di piu' facile di scovare buchi in un source code complesso come apache rispetto a che so decompilare IIS7.voi dite che la community tappa i buchi, nei fatti ci sono bugs di apache che sono stati scoperti ANNI dopo e nel frattempo i dati sono stati rubati, da veri hacker quelli che operano in silenzio mica come i XXXXXXXX lulzsec et similia.
          • sbbabbaro scrive:
            Re: Retroscena
            purtroppo e a malincuore ti devo dare ragione!!!l'open è open....per tutti.
          • panda rossa scrive:
            Re: Retroscena
            - Scritto da: Marcellus
            e qui sta la truffa dell'open source : non c'e'
            nulla di piu' facile di scovare buchi in un
            source code complesso come apache rispetto a che
            so decompilare
            IIS7.E analogamente non c'e' niente di piu' facile che tappare i buchi dell'open source, visto che puoi farlo da solo, senza aspettare la patch del primo martedi del mese successivo che arrivera' in ritardo e a danno irreversibile.
            voi dite che la community tappa i buchi, No, non lo diciamo. Lo facciamo e basta.
            nei
            fatti ci sono bugs di apache che sono stati
            scoperti ANNI dopo e nel frattempo i dati sono
            stati rubati, da veri hacker quelli che operano
            in silenzio mica come i XXXXXXXX lulzsec et
            similia.Quali fatti?Sono capaci tutti di fare fud, ma qui lo devi dimostrare.
          • sbbabbaro scrive:
            Re: Retroscena
            mha...avete tutti un po ragione.Però come tutte le cose il fattore umano è fondamentale...credo che in alcune università non si sono nemmeno avvicinati ma anzi si siamo tenuti particolarmente lontani.Non faccio nomi ma ricordo le volanti della pula che spesso portavano via gli aspiranti hackerini...Non mi aspetto che nessun sito di questi venga violato ma hanno saputo dove bussare.(sempre se hanno bussato, non ho capito ancora se è una bufala o no)
          • Marcellus scrive:
            Re: Retroscena
            che sia facile lo dice tu, hai mai preso in mano il source code di apache o di mysql ad esempio ??e per quale motivo la gente dovrebbe farlo gratis poi ? rendiamoci conto, il 50% e passa dei server internet gira su apache, che come IIS e' e rimane vulnerabile sia agli 0day che ai bugs magari scoperti anni fa che nessuno ha giustamente ha messo in giro nelle ML di security.in ogni momento, anche ora, c'e' gente che nel totale silenzio ruba dati da servers apache e nessuno ne sapra' mai nulla.apache e' in giro da anni e anni, e ogni 2-3 mesi escono explit pubblici, chiediamoci invece quanti sono gli exploit privati di cui nessuno e' al corrente perche' li sta il problema .. magari li renderanno pubblici nel 2015 giusto perche' non funzionano piu' o altro, nel frattempo apache e' vulnerabile e non parliamo di IIS.perche' credete che google giri su una versione custom custom di apache e cosi' microsoft.com ?
          • panda rossa scrive:
            Re: Retroscena
            - Scritto da: Marcellus
            che sia facile lo dice tu, hai mai preso in mano
            il source code di apache o di mysql ad esempio
            ??C'e' anche del mio codice se proprio vuoi saperlo.Poca roba, ed assolutamente non necessaria, ma c'e'!
            e per quale motivo la gente dovrebbe farlo gratis
            poi ? Se ti fai questa domanda e' inutile che io perda tempo a risponderti.
            rendiamoci conto, il 50% e passa dei server
            internet gira su apache, che come IIS e' e rimane
            vulnerabile sia agli 0day che ai bugs magari
            scoperti anni fa che nessuno ha giustamente ha
            messo in giro nelle ML di
            security.Rimane cosi' vulnerabile che internet funziona.
            in ogni momento, anche ora, c'e' gente che nel
            totale silenzio ruba dati da servers apache e
            nessuno ne sapra' mai nulla.Ok, la tua competenza in fatto di sistemi operativi e networking e' zero.
            apache e' in giro da anni e anni, e ogni 2-3 mesi
            escono explit pubblici, chiediamoci invece quanti
            sono gli exploit privati di cui nessuno e' al
            corrente perche' li sta il problema .. magari li
            renderanno pubblici nel 2015 giusto perche' non
            funzionano piu' o altro, nel frattempo apache e'
            vulnerabile e non parliamo di
            IIS.Torna a giocare coi gormiti, dammi retta.Queste cose sono troppo inconcepibili per il tuo neurone malandato.
            perche' credete che google giri su una versione
            custom custom di apache e cosi' microsoft.com ?Google avra fatto qualche personalizzazione interna.M$ non usa apache.
          • MarcelloRomani scrive:
            Re: Retroscena
            Ahimé, tempo sprecato.Però cominciavo a chiedermi quanto avrebbero tardato a comparire i soliti messaggi stile fud-del-mercato.Mi sembra di leggere usenet ai tempi degli halloween documents :-)
          • Marcellus scrive:
            Re: Retroscena
            bravo bravo e checche' siano poche righe di codice intanto le usano e hanno venduto la Apache Foundation a Oracle per 1.5 miliardi di $ ...a te quanto hanno dato per il codice ? ovviamente zero.ti avranno almeno detto grazie, bonta' loro ?continua pure a diferendere l'open source e lasciamo che gli altri si arricchiscano sul tuo groppone.sei il piu' intelligente di tutti noi !
          • Skywalker scrive:
            Re: Retroscena
            - Scritto da: Marcellus
            bravo bravo e checche' siano poche righe di
            codice intanto le usano e hanno venduto la Apache
            Foundation a Oracle per 1.5 miliardi di $
            ...

            a te quanto hanno dato per il codice ? ovviamente
            zero.
            ti avranno almeno detto grazie, bonta' loro ?

            continua pure a diferendere l'open source e
            lasciamo che gli altri si arricchiscano sul tuo
            groppone.

            sei il piu' intelligente di tutti noi !Va bene fare il Troll, siamo su PI.Ma il 1 Aprile 2010 è stato quasi un anno e tre mesi fa...
          • Ubunto scrive:
            Re: Retroscena
            - Scritto da: Marcellus
            non concordo, se uno ha un exploit 0day non c'e'
            nulla che possiate fare, ed e' esattamente cosi'
            che hanno fatto sia anonymous che lulzsec, nei
            casi dove non funzionava hanno fatto un patetico
            DDOS.

            e qui sta la truffa dell'open source : non c'e'
            nulla di piu' facile di scovare buchi in un
            source code complesso come apache rispetto a che
            so decompilare
            IIS7.

            voi dite che la community tappa i buchi, nei
            fatti ci sono bugs di apache che sono stati
            scoperti ANNI dopo e nel frattempo i dati sono
            stati rubati, da veri hacker quelli che operano
            in silenzio mica come i XXXXXXXX lulzsec et
            similia.Marcellus, se guardi i siti "bucati" o presunti tali, perché su alcuni ci sono seri dubbi, molti di questi non usano soluzioni open, ma custom.Dico custom perché in certi casi non ha nemmeno senso fare distinzione fra open e closed: se un sistema non ha una buona architettura, cade: open o closed che sia.Da un certo punto di vista è più importante che un CMS sia "collaudato" del fatto che sia open o closed. Il sito sicuro è quello che non ha falle, non quello che "non si vedono".Il sitariello fatto dal genietto di turno o dalla piccola azienda che fa tutto in casa, è potenzialmente meno sicuro di un "Alfresco", "Drupal" o di altri CMS che hanno alle spalle grosse organizzazioni/aziende.
        • FridayChild scrive:
          Re: Retroscena
          Sbagli, nelle Universita' ci sono tanti informatici con i controfiocchi, cosi' come nel privato ci sono anche dei grandi incompetenti, anche con stipendi molto alti.
          • sbbabbaro scrive:
            Re: Retroscena
            si è vero. Come diveva prima un utente, spesso c'è ne uno solo.Anche se è bravo, come fa a controllare i server, controllare l'hw e sw, rispondere al telefono, servire l'helpdesk, programmare, risolvere ogni tipo di grana informatica.E' chiaro che alle 18 dopo 10 ore di lavoro manda tutti a quel paese e se ne va a casa, fregandose se il suo apache è ancora alla versione 0.1.Dividere dividere dividere i compiti, pagare pagare pagare meglio.DIVIDE ET IMPERA.
          • Marcellus scrive:
            Re: Retroscena
            certo ma sono tecnici, non disassemblano il codice, ne' lo decompilano, ne' usano tools automatizzati per verificafe le forms e le URL e tutto il resto e poi ripeto resta il problema del CSRF che tutti sottovalutano.un tecnico si aggiorna, legge, discute, fa le patch, e POI ?NON e' un programmatore, non conta che firewalli tutto, non conta nulla se il bug gira sulla porta 80 e la stringa non e' filtrata.e' 30 anni che si va avanti cosi' e non cambia nulla.o si paga come si deve gente esperta o si tengono i dati OFFLINE.
          • Marcellus scrive:
            Re: Retroscena
            si sono tutti bravi a fare le patch ma se la patch per il bug uscito il giorno prima non c'e' che fanno eh ? aspettano .. e intanto sono del tutto vulnerabili e impotenti a meno che spengono il server.
          • sbbabbaro scrive:
            Re: Retroscena
            guarda che ormai i sistemisti sono quasi tutti laureati.Programmano anche, compilano, sanno come gira il "fumo" ecc...Spesso vengono "estratti" fra i softwaristi in disuso. :) è vero se la patch non c'e ti attacchi.Però se almeno usi delle policy e ti pari il fondo schiena in qualche modo ti salvi.Spesso tutto cio dipende anche dagli utenti, i quali devono essere obbligati per LEGGE SCRITTA a non usare come password il proprio nome.Ho visto gente che come suggerimento per le password metteva la password...roba da testate nel muro.Saluti
          • Marcellus scrive:
            Re: Retroscena
            hahaha se sono tutti aureati allora siamo a posto eh ?peccato che gli esperti di security siamo forse un centinaio in tutta italia stando larghi, parlo di chi programma e spende settimane o mesi a scoprire bugs, non di chi usa scripts 0day altrui (che tra l'altro sono a pagamento, mica e' gratis !) come le merde lulzsec o anonymous.
          • aargs scrive:
            Re: Retroscena
            good for you!!Se ti pagano, fai bene...poi XXXXX essere fra i 100 in tutta italia..tanta roba, sei al livello di Mitnick!!!Perchè non fanno anche un securityForce e la fanno girare nelle PA e università, una mano la potreste dare!!
      • Ubunto scrive:
        Re: Retroscena
        - Scritto da: FridayChild
        Analisi corretta; aggiungerei che in molti casi
        le strutture periferiche sono in sotto-organico
        cronico, specie per la parte informatica,
        cosicche' spesso non c'e' alcun informatico in
        pianta organica, o magari ce n'e' uno solo che
        deve fare tutto: il manutentore, il sysadmin, il
        webmaster, l'helpdesk a utenti interni e esterni,
        il db manager, il programmatore etc. etc. E il
        tutto a uno stipendio fermo da anni ai livelli
        minimi di sussistenza. Risultato: si tira a
        campare, tempo per fare altro non ce n'e'. Ovvio
        che cosi' qua e la' saltano fuori dei
        buchi.
        Serve quindi una riorganizzazione profonda dei
        servizi informatici, e anche investire in nuove
        assunzioni e soprattutto in formazione
        qualificante. Basta nozze con i fichi
        secchi.Perfetta fotografia della situazione. Chapeau!Nel tuo discorso sono fari abbaglianti due punti:- l'uso demenziale del personale (che ci fa un informatico &lt;u&gt; da solo &lt;/u&gt; in un dipartimento/facolt&#224;, il saltimbanco? ).- l'inconsistenza dei corsi di formazione e aggiornamento decenti. Decenti e qualificati/nti.-----------------------------------------------------------Modificato dall' autore il 08 luglio 2011 10.44-----------------------------------------------------------
    • spurgo scrive:
      Re: Retroscena
      a me puzza di "marketing virale" 'sta roba qua... tipo l'uomo dei sogni.
      • lattuga scrive:
        Re: Retroscena
        - Scritto da: spurgo
        a me puzza di &quot;marketing virale&quot; 'sta
        roba qua... tipo l'uomo dei
        sogni.Ma per favore. Ma marketing virale per cosa poi?
    • ciccio quanta ciccia scrive:
      Re: Retroscena
      Verissimo, solo che non è sempre e solo questione di orticello ma del fatto che coi tempi biblici dell'amministrazione centrale o ti arrangi (anche male) o non fai nulla o chiisà quando.
  • mat scrive:
    GRAN RUMORE X CENSURARE INTERNET
    Ultimamente c'è un gran tam tam mediatico su ipotetici attacchi verso corporation ed amministrazione. Sembra la classica mossa per far accettare ai cittadini una stretta sull'indipendenza ed apertura di internet.Intanto in Islanda i cittadini si stanno scrivendo la nuova costituzione con il supporto dei social network... Prima che capiti anche altrove, meglio bloccare e censurare!!!
    • collione scrive:
      Re: GRAN RUMORE X CENSURARE INTERNET
      se la massa è così stupida da crederci, allora merita la censuraperò non sarà così pessimista, perchè laddove la censura è in vigore da un pò di anni, comincia a crepitareil potere della TSA vacilla e così le giustificiazioni per il patriot actquello che è certo è si sta arrivando molto velocemente allo scontro armato tra le masse e i potentati
    • LuLu scrive:
      Re: GRAN RUMORE X CENSURARE INTERNET
      Spiacente, la censura è vietata dalla costituzione Italiana...
    • infame scrive:
      Re: GRAN RUMORE X CENSURARE INTERNET
      - Scritto da: mat

      Intanto in Islanda i cittadini si stanno
      scrivendo la nuova costituzione con il supporto
      dei social network... Prima che capiti anche
      altrove, meglio bloccare e
      censurare!!!scusa, ma tu vorresti per caso fare riscrivere la Costituzione a agli italiani?a gente che passa la vita a guardare il grande fratello?paura....
  • dipendente scrive:
    anche da roma tutto falso
    anche qui a roma abbiamo controllato i filesgli user che hanno messo non esistono e gli indirizzi email che hanno messo non sono altro che indirizzi che chiunque accedendo ai siti dei dipartimenti e facoltà le password oltretutto non rispecchiano le policy imposte e quindi neanche potrebbero registrarsi buffoniallora domani pubblico un txt fasullo e dico che ho violato il sito della casa bianca, visto che basta così poco!meglio che sti pagliacci rimangano nell anonymus
    • Io Me scrive:
      Re: anche da roma tutto falso
      Falso è quello che dici tu...... e mi sa che gli unici buffoni siete voi delle università.
    • incredulo scrive:
      Re: anche da roma tutto falso
      occhio perche ti mandano l FBI a casa !! hahahahaha
    • Marco scrive:
      Re: anche da roma tutto falso
      Veramente io ho il file tar.gz sottomano e ho fatto vari test di login con username (o matricola) e password su vari siti di università e sono entrato senza alcun problema.. quindi non so come possa garantire quanto dice.
      • panda rossa scrive:
        Re: anche da roma tutto falso
        - Scritto da: Marco
        Veramente io ho il file tar.gz sottomano e ho
        fatto vari test di login con username (o
        matricola) e password su vari siti di
        universit&#224; e sono entrato senza alcun
        problema.. quindi non so come possa garantire
        quanto
        dice.La prassi e' sempre quella di negare, negare e negare oltre ogni evidenza.E se proprio non fosse sufficiente, si puo' sempre dire che si credeva che quelli che sono entrati nei sistemi fossero i nipoti di Mubarak.
      • krane scrive:
        Re: anche da roma tutto falso
        - Scritto da: Marco
        Veramente io ho il file tar.gz sottomano e ho
        fatto vari test di login con username (o
        matricola) e password su vari siti di
        universit&#224; e sono entrato senza alcun
        problema.. quindi non so come possa garantire
        quanto dice.O non sa copiare una login e una pwd... Oppure e' uno dei sistemisti che dovevano proceggere una di quelle universita' e quindi non sa copiare una login e una pwd...
  • aid85 scrive:
    grazie !!
    ora abbiamo le prove di quanto male vengano custoditi i nostri dati . . .andiamo avanti a negare le evidenze?un lobotomizzato non può essere convinto ulterirormente!!i lolloni hanno pubblicato pochissima roba 5% della popolazione universitaria ?0,5 % ?chi agisce di nascosto e non piazza tutto a disposizione dell'opinione pubblica non rischia nulla e fa di peggio !!!!!!p.s. che il poli facesse pena mai avuto dubbi
  • konnroe scrive:
    Guerra
    Qualcuno dovrà fare gli straordinari
  • Jacopo Monegato scrive:
    siete citati dal corriere
    http://www.corriere.it/cronache/11_luglio_06/hacker-universit%C3%83%C2%A0_a1303f04-a7f2-11e0-80dd-8681c9f51334.shtml ;)
    • panda rossa scrive:
      Re: siete citati dal corriere
      - Scritto da: Jacopo Monegato
      http://www.corriere.it/cronache/11_luglio_06/hackeAdesso mi spiego la presenza nel forum di tutta questa gente mai sentita prima.
  • smilzoboboz scrive:
    Uniud
    Quattro anni fa avevo fatto prove con un amico all'UniUd in questo senso: fisicamente in facoltà, lasciare la mia macchina più o meno incustodita (in realtà non mi passava un cz e sono stato là a navigare in internet per ore) mentre faceva un massiccio dump di handshake di colleghi che si collegavano in WiFi. In poche ore, di handshake ne erano venuti fuori un centinaio e non essendoci protocolli particolari, le password erano "in chiaro". Dati alla mano non ho fatto a tempo ad andare pochi giorni dopo (con una manciata di password in mano) in presidenza a chiedere info sulla questione che avevano messo un protocollo di cifratura che a quanto pare era programmato da qualche tempo.PS: Le password erano perlatro già randomizzate, con lettere maiuscole/minuscole e numeri e per i nuovi iscritti non erano/sono modificabili (se non via richiesta in segretereia per motivi di sicurezza appunto). Infatti quelle che avevo trovato, ho scoperto dopo essere state di "vecchi" iscritti e a 6 caratteri invece che a 8.In pratica, in teoria a UD i dati sono lucchettati...
    • panda rossa scrive:
      Re: Uniud
      - Scritto da: smilzoboboz
      In pratica, in teoria a UD i dati sono
      lucchettati...Complimenti a ruppolo!
      • Zappolo scrive:
        Re: Uniud
        e tu pensi che ruppolo sia capace di fare una cosa del genere?
        • panda rossa scrive:
          Re: Uniud
          - Scritto da: Zappolo
          e tu pensi che ruppolo sia capace di fare una
          cosa del
          genere?Udine e' zona sua, quindi o lo ringraziamo per il lavoro ben fatto, o lo ringraziamo per non essere stato lui a farlo.In entrambi i casi ci vogliono i complimenti.
          • p4bl0 scrive:
            Re: Uniud
            - Scritto da: panda rossa
            - Scritto da: Zappolo
            &gt; e tu pensi che ruppolo sia capace di fare una
            &gt; cosa del
            &gt; genere?

            Udine e' zona sua, quindi o lo ringraziamo per il
            lavoro ben fatto, o lo ringraziamo per non essere
            stato lui a
            farlo.

            In entrambi i casi ci vogliono i complimenti.direi la seconda.. l'unico mac che ho visto là dentro era un G4 in un laboratorio fermo a prendere polvere
    • Un Universita rio scrive:
      Re: Uniud
      Non so se c'entra col suo commento questo mio ragionamento qui: se c'è un qualche tizio a dire il vero un po' ingenuo che per un qualsiasi motivo (legittimo) di studio o lavoro ha ricevuto una password di gestione di una parte di un qualche sistema informatico (p. es. sito) dell'università, e si connette (senza https) a quel sistema tramite una connessione wifi sprotetta (come quelle di alcune università, compresa la mia), qualunque esperto sia "in ascolto" sulla rete wifi può intercettare dei dati di quel tizio, che sono più delicati di semplici dati personali di uno studente. Non in tutte le università l'hacker ha questa fortuna, fortunatamente per noi, però è così facile da fare che mi viene in mente che per alcune o addirittura tutte le università attaccate potrebbero aver fatto così. Comunque, forse le università potrebbero rendere IMPOSSIBILE all'ipotetico tizio ingenuo di connettersi dal wifi sprotetto... semplicemente togliendo il wifi sprotetto e mettendone uno protetto. :)
    • Io Me scrive:
      Re: Uniud
      Mi sa che il vostro lucchetto è rotto.
    • mmmm scrive:
      Re: Uniud
      mi sfugge qualcosa, sono anch'io all'uniud e non capisco come hai fatto, il wifi è protetto con wpa2 enterprise e cmq ogni sito dell'università va tramite https di default, come hai fatto tu ha leggere gli handshake?e si può tranquillamente cambiare la password, come ho fatto io che sono un nuovo iscritto dal sito.
    • pippo123 scrive:
      Re: Uniud
      Magari un giorno avremo modo di conoscerci...e magari quel giorno avrai modo di scoprire che a udine i dati non sono proprio così lucchettati come pensi :)Che a udine non sia toccata la stessa sorte è stata solo una questione di fortuna...fermo restando chq quello che è stato fatto è stato un gesto del tutto deprecabile.
  • bubba scrive:
    legge 547/1993 e 615-ter c.p.
    ve ne ricordate , lettori di p.i. , si? No perche scaricare il file e "provare un po di password tanto per vedere se funzionano" e' un simpatico REATO. Fatelo da casa di qualcun'altro almeno :))))))))))
    • ces scrive:
      Re: legge 547/1993 e 615-ter c.p.
      - Scritto da: bubbaFatelo da casa di
      qualcun'altro almeno
      :))))))))))Okay, dammi l'indirizzo e lascia le chiavi sotto il tappeto(geek)
      • bubba scrive:
        Re: legge 547/1993 e 615-ter c.p.
        - Scritto da: ces
        - Scritto da: bubba
        Fatelo da casa di
        &gt; qualcun'altro almeno
        &gt; :))))))))))

        Okay, dammi l'indirizzo e lascia le chiavi sotto
        il
        tappeto(geek)non sono cosi matto :) spero non siano matti anche i 5 o 6 che hanno commentato qui che hanno provato un po di password per vedere se andavano :)
      • ciccio quanta ciccia scrive:
        Re: legge 547/1993 e 615-ter c.p.
        Basta che ti lasci il wifi aperto e fai da fuori, non vorrai mica vuotargli anche il frigo, no? Porello!
  • bubba scrive:
    che pena!
    normalmente non mi do pena per i lulz o affini.. anzi se pestacchiano la sony fanno pure bene. Ma andare a bucare a nastro le universita' e' proprio lame! Cioe lo sanno tutti che le univ sono un po la palestra degli studenti (e non :P), e non brillano certo per sicurezza... se fossero ultrablindate non ci si potrebbe divertire mai. E moh vengono sti fraccapalle dei lulz a sparpagliare account a pacchi. Male ,malissimo.
  • Cotton scrive:
    IMPOSSIBILE!!!
    Non li avevano mica presi tutti con la grandiosa e glorificata retata di qualche giorno fa ?eh eh eh
    • Un tuo commento scrive:
      Re: IMPOSSIBILE!!!
      - Scritto da: Cotton
      Non li avevano mica presi tutti con la grandiosa
      e glorificata retata di qualche giorno fa
      ?Ma figurati, erano tutte XXXXXXX... che sorpresa... (rotfl)
  • Alberto scrive:
    Re: Duro Colpo
    Ciao, io ho scaricato i file e ho provato quasi un centinaio di password a campione, non una che funzioni.Molte delle mail sono fasulle, o pubbliche, o semplicemente calcolate (tipo nome.cognome@univesrita.it).I dati sensibili non presenti in siti dono davvero pochi, e molti secondo me sono inventati.E' una mezza bufala! fate attenzione
    • andrea io scrive:
      Re: Duro Colpo
      prova ad utilizzarle su facebook. Posso dirti 3 su 3
      • Alberto scrive:
        Re: Duro Colpo
        Ma... allora... hanno rubato le password di facebook???? cosa c'entrano gli Atenei????
        • Io Me scrive:
          Re: Duro Colpo
          E' solo che gli utenti utilizzano la stessa password per vari siti. Ovviamente questo conferma la validità del database.
          • Sky scrive:
            Re: Duro Colpo
            Abbiamo un caso (ma sicuramente NON l'unico!) di "cross accounting": ti bucano il sistema (insicuro) X ed usano le credenziali rapinate lì per violare il tuo account sul sistema (sicuro?) Y.Mettiamoci la mano sulla coscienza, comunque: quanti di noi usano davvero user/password diverse per sistemi diversi?(chi mi risponde "io, tutte diverse, ho il portachiavi" lo sputo subito eh)
          • ciccio quanta ciccia scrive:
            Re: Duro Colpo
            IO, tutte diverse e ho pure il portachiavi... quello di casa! (troll3) @^ :p
          • panda rossa scrive:
            Re: Duro Colpo
            - Scritto da: Sky
            Abbiamo un caso (ma sicuramente NON l'unico!) di
            &quot;cross accounting&quot;: ti bucano il
            sistema (insicuro) X ed usano le credenziali
            rapinate l&#236; per violare il tuo account sul
            sistema (sicuro?)
            Y.

            Mettiamoci la mano sulla coscienza, comunque:
            quanti di noi usano davvero user/password diverse
            per sistemi
            diversi?
            (chi mi risponde &quot;io, tutte diverse, ho il
            portachiavi&quot; lo sputo subito
            eh)Io uso la stessa password ovunque!Ma ho user diversi!
          • Intelligent e scrive:
            Re: Duro Colpo
            Io uso stesso nickname e password ovunque, ma uso un computer diverso per ogni sito, così sono al sicuro!!11
  • Simone scrive:
    errore nell'articolo...
    Visionando l'archivio non c'è nulla sull'università di cagliari... c'è un errore nell'articolo anche perchè nella firma del gruppo, i lulz non hanno citato alcun sito riferito a tale università...
  • sylvaticus scrive:
    Tecnologia in comune?
    Qualcuno è in grado di trovare un nesso tra le università coinvolte? Fanno parte di qualche consorzio che gestisce i db attraverso la stessa tecnologia?
    • collione scrive:
      Re: Tecnologia in comune?
      che io sappia fanno parte tutte del GARR
      • Orfheo scrive:
        Re: Tecnologia in comune?
        - Scritto da: collione
        che io sappia fanno parte tutte del GARRIl GARR gestisce tutte le "infrastrutture" di rete, le dorsali per capirci, di "tutte" le Universita' e gli enti di ricerca pubblici italiani, CNR, INFN, ENEA, Cineca, etc.Ha poco a che vedere con le strategie e le reti "private" dei vari enti, che sono prevalentemente autonomi e molto "gelosi" della loro autonomia.In questo senso possiamo dire che il GARR e' l'ISP della ricerca italiana: fornisce la "banda" necessaria, ma si ferma ai router di frontiera. Un po' come Telecom o Infostrada con la nostra connessione casalinga ADSL (se il router, come spero, e' vostro).Orfheo.
    • Pippo scrive:
      Re: Tecnologia in comune?
      Credo che molte università usino il portale esse3 per gestire i libretti, iscrizioni eccforse hanno bucato quello
      • mmmm scrive:
        Re: Tecnologia in comune?
        anche udine usa esse3 però non c'è nell'elenco
      • lputino scrive:
        Re: Tecnologia in comune?
        E' una bufala, hanno bucato un sistema sfigatissimo di un dipartimento.
      • ciccio quanta ciccia scrive:
        Re: Tecnologia in comune?
        NOoooooo esse3 noooooooooooo...è talmente "ben fatto" e amato che in genere i dipartimenti ti chiedono di sviluppare tu un sistema che FUNZIONI ;)
    • softeng scrive:
      Re: Tecnologia in comune?
      la maggior parte delle università coinvolte ha lo stesso sistema informativo, gestito da cineca (gestisce diversi applicativi per il MIUR).questo sistema non ha mai funzionato per affidabilità, infatti ci sono stati diversi problemi presso l'università di torino.
  • Alberto scrive:
    ho dato un'occhiata
    Ho scorso i file e non mi sembra ci siano tanti dati rilevanti.La maggior parte delle password sono sottoforma di hash quindi, a meno che non si tratti di password banali, sono informazioni inutili.Di qualche utente c'è anche la password (quelle appunto banali).In generale poi molte informazioni sembrano tratte dai siti degli ateneo.
    • POSTPC scrive:
      Re: ho dato un'occhiata
      come si trovano i torrent per questi file?
      • francososo scrive:
        Re: ho dato un'occhiata
        - Scritto da: POSTPC
        come si trovano i torrent per questi file?direttamente dal profilo twitter postato nell'articolo !
    • Jacopo Monegato scrive:
      Re: ho dato un'occhiata
      ho dato un'occhiata all'unibo... c'erano solo info sui docenti (che si trovano chedo sulle loro biografie nei siti). mah
    • Ipnomate scrive:
      Re: ho dato un'occhiata
      Ma perché questa fretta di commentare? "Ho dato un'occhiata", e danne anche un altra. Ci sono, in chiaro, migliaia di id/pwd di account universitari, numeri di cellulare, sysadmin... Poi, di alcune università c'è di più, di altre meno.Cos'è? Invidia?
      • Jacopo Monegato scrive:
        Re: ho dato un'occhiata
        io devo dire che ho guardato che mi interessava (l'università che frequento ad esempio) e non ho visto dati sensibili. 300kB neanche per i dati di tutti gli utenti di un'ateneo???? maaaaah. tenendo conto che di ogni nome c'è la descrizione più o meno presente sul sito?
        • Ipnomate scrive:
          Re: ho dato un'occhiata
          Ma chi ha detto che sono "tutti" i dati di un ateneo? Guarda i dati di Torino, oppure quelli della Bicocca. Controlla i dati dei professori di Bologna.Certo, per fortuna non sono tutti. Ma cosa cambia? Il succo è che i sistemi informatici universitari sono delle gruviere.
          • Alberto scrive:
            Re: ho dato un'occhiata
            Ma li hai guardati bene i dati di milano bicocca?Prendi ad esempio le mail... possibile che tutti gli studenti se si chiamano ad esempio Tizio Caio abbiano mail del tipo sempronio.altro@libero.it ?TUTTE le mail hanno nomi e cognomi che non corrispondono.Hai provato poi le password sul loro sito?Ho provato sia sulla webmail che sull'area riservata, ne ho provate decine... nessuna è valida.Secondo me è una bufala.Ciao!
          • Ipnomate scrive:
            Re: ho dato un'occhiata
            Bicocca) Le email sono riordinate male, in un ordine sbagliato. Però sono email di studenti di quell'Università, quindi un *malandrino* potrebbe facilmente fare il matching.Avendo nome, cognome (quelli corrispondono) e pwd (che a naso potrebbe essere quella giusta) qualcosa si può fare, ma non entrare nella webmail (chiaramente ha un'altra password, a meno di utonto che usa sempre la stessa).Bologna) Potrebbero essere degli Hash, potrebbero non esserlo (password random assegnate dal sistema, come fanno in alcuni atenei). In alcune tragiche reti universitarie, notizia di prima mano, basta l'hash per entrare.Torino) Certo, uno dei modi con cui potrebbero aver tirato fuori i dati è un forcing "manuale". Oppure come suggerisce Smilzoboboz.Ma il succo, e anche gli autori l'hanno spiegato, mi pare, non è la qualità o l'usabilità dei dati, quanto la mancanza di affidabilità dei sistemi. Stiamo qui a arrestare i minorenni di Anonymous entrando in casa, e lasciamo falle ovunque...
          • Alberto scrive:
            Re: ho dato un'occhiata
            Non sto difendendo nessuno... sto solo cercando di evitare di evitare i sensazionalismi che accadono in questi casi... dove si da credito a qualsiasi cosa senza verificare... e che porta ad esempio a dire di fronte a una lunga serie di stringhe esadecimali di 32 byte si tratti di password in chiaro e non di hash, o al limite di passowrd quantomento codificate in esadecimale.Ovviamente potrebbe essere... tutto potrebbe essere, però non ti sembra di voler cercare a tutti i costi la notizia?Tra il fatto che siano codificate (come fa il 99% dei sistemi esistenti) e quello che tutte le passowrd siano casualmente di 32 caratteri (comode da ricordare!!) esattamente come gli hash, e solo con lettere dalla A alla F... quale opzione scegli?ciao
          • Ipnomate scrive:
            Re: ho dato un'occhiata
            Hai ragione, su Bologna mi sembra che non ci siano dubbi. Sono hash. Alcune però riportano il chiaro, fra parentesi, a fianco. Almeno mi sembra.Niente sensazionalismi.begin{utopia}Se solo riuscisse a passare l'idea che non è anonymous a rendere insicuro internet ma l'utonto che usa la stessa password per tutti i servizi...end{utopia}
          • panda rossa scrive:
            Re: ho dato un'occhiata
            - Scritto da: Ipnomate
            Stiamo qui a
            arrestare i minorenni di Anonymous entrando in
            casa, e lasciamo falle
            ovunque...Non importa se il Titanic affonda.L'importante e' far sentire l'orchestrina che suona, cosi' tutti stanno piu' tranquilli.
          • FridayChild scrive:
            Re: ho dato un'occhiata

            Non importa se il Titanic affonda.
            L'importante e' far sentire l'orchestrina che
            suona, cosi' tutti stanno piu'
            tranquilli.In realta', scusami, l'esempio e' infelice. L'orchestrina del Titanic non suonava, durante il naufragio, per ordine del capitano, per dare l'idea che non stesse succedendo nulla di grave. Suonava perche' erano musicisti, sapevano di essere spacciati e volevano morire suonando.Magari li pagavano pure una miseria, la butto li', come molti degli informatici degli Atenei italiani. Che hanno anche loro il problema - per restare in metafora - che ci vorrebbero molte piu' scialuppe, ma le risorse per altre scialuppe non sono saltate fuori.Cosi' il Titanic affonda, e l'orchestra suona, perche' altro non puo' fare con i mezzi che ha. E cosi' ogni tanto qualcuno gliele suona.
          • panda rossa scrive:
            Re: ho dato un'occhiata
            - Scritto da: FridayChild
            &gt; Non importa se il Titanic affonda.
            &gt; L'importante e' far sentire l'orchestrina che
            &gt; suona, cosi' tutti stanno piu'
            &gt; tranquilli.

            In realta', scusami, l'esempio e' infelice.
            L'orchestrina del Titanic non suonava, durante il
            naufragio, per ordine del capitano, per dare
            l'idea che non stesse succedendo nulla di grave.
            Suonava perche' erano musicisti, sapevano di
            essere spacciati e volevano morire
            suonando.E' una tua opinione o hai una fonte autorevole che lo dimostra?(hint: il film di Cameron NON e' una fonte autorevole)
          • FridayChild scrive:
            Re: ho dato un'occhiata

            E' una tua opinione o hai una fonte autorevole
            che lo
            dimostra?
            (hint: il film di Cameron NON e' una fonte
            autorevole)Ero al violoncello.Seriamente: qual e' una fonte autorevole (sul film sono d'accordo)?Presumo ce ne voglia una anche per sostenere che l'orchestra suonava per ordini superiori, comunque.Uhm, impasse.
          • panda rossa scrive:
            Re: ho dato un'occhiata
            - Scritto da: FridayChild
            &gt; E' una tua opinione o hai una fonte
            autorevole
            &gt; che lo
            &gt; dimostra?
            &gt; (hint: il film di Cameron NON e' una fonte
            &gt; autorevole)

            Ero al violoncello.Ah, allora va bene.
            Seriamente: qual e' una fonte autorevole (sul
            film sono
            d'accordo)?
            Presumo ce ne voglia una anche per sostenere che
            l'orchestra suonava per ordini superiori,
            comunque.
            Uhm, impasse.No, io ho fatto una battuta, senza alcuna pretesa di sostenere alcunche'.Tu sei intervenuto per rettificare una battuta, quindi sei tu quello che dovrebbe sostenere l'ipotesi.
          • andrea io scrive:
            Re: ho dato un'occhiata
            prova ad utilizzare email e password su facebook e vedi cosa ne esce, io ho provato.
          • Alberto scrive:
            Re: ho dato un'occhiata
            Non ho capito questo commento... vorresti dire che allora è stato bucato facebook e non le università ???
          • panda rossa scrive:
            Re: ho dato un'occhiata
            - Scritto da: Alberto
            Non ho capito questo commento... vorresti dire
            che allora &#232; stato bucato facebook e non le
            universit&#224;
            ???No, vuol dire che quella gente e' cosi' astuta da usare la stessa password per tutti i loro account, fessbuk compreso.
          • Nome e cognome scrive:
            Re: ho dato un'occhiata
            - Scritto da: andrea io
            prova ad utilizzare email e password su facebook
            e vedi cosa ne esce, io ho
            provato.e provare a farti i XXXXX tuoi no?
          • Lorello Cuccarino scrive:
            Re: ho dato un'occhiata
            - Scritto da: Nome e cognome
            - Scritto da: andrea io
            &gt; prova ad utilizzare email e password su
            facebook
            &gt; e vedi cosa ne esce, io ho
            &gt; provato.

            e provare a farti i XXXXX tuoi no?Beh, che discorso sarebbe? Anche se lui si facesse i XXXXX propri stai pur certo che c'è senz'altro qualcun altro da qualche altra parte che non se li fa, e magari con intenzioni ben peggiori della semplice "prova".
          • Nome e cognome scrive:
            Re: ho dato un'occhiata
            - Scritto da: Lorello Cuccarino
            - Scritto da: Nome e cognome
            &gt; - Scritto da: andrea io
            &gt; &amp;gt; prova ad utilizzare email e
            password
            su
            &gt; facebook
            &gt; &amp;gt; e vedi cosa ne esce, io ho
            &gt; &amp;gt; provato.
            &gt;
            &gt; e provare a farti i XXXXX tuoi no?

            Beh, che discorso sarebbe? Anche se lui si
            facesse i XXXXX propri stai pur certo che
            c'&#232; senz'altro qualcun altro da qualche
            altra parte che non se li fa, e magari con
            intenzioni ben peggiori della semplice
            &quot;prova&quot;.beh allora andiamo a rapinare le banche, tanto da qualche altra parte c'e' sicuramente qualcuno che sta rapinando un'altra banca (newbie)
          • Nome e cognome scrive:
            Re: ho dato un'occhiata
            tra l'altro, perche' PI adesso quota a XXXXX? bugggg
          • panda rossa scrive:
            Re: ho dato un'occhiata
            - Scritto da: Nome e cognome
            tra l'altro, perche' PI adesso quota a XXXXX?
            buggggE' da' un po' che lo fa...Devono aver messo qualcosa nel parsing html per evitare delle injections, e hanno creato questo buco.
          • Sky scrive:
            Re: ho dato un'occhiata
            Si son dimenticati un "next" nel loop che risolve i simboli "
            " e traslano solo il primo. ;)
          • Lorello Cuccarino scrive:
            Re: ho dato un'occhiata
            - Scritto da: Nome e cognome
            - Scritto da: Lorello Cuccarino
            &gt; - Scritto da: Nome e cognome
            &gt; &amp;gt; - Scritto da: andrea io
            &gt; &amp;gt; &amp;amp;gt; prova ad utilizzare
            email
            e
            &gt; password
            &gt; su
            &gt; &amp;gt; facebook
            &gt; &amp;gt; &amp;amp;gt; e vedi cosa ne esce,
            io
            ho
            &gt; &amp;gt; &amp;amp;gt; provato.
            &gt; &amp;gt;
            &gt; &amp;gt; e provare a farti i XXXXX tuoi no?
            &gt;
            &gt; Beh, che discorso sarebbe? Anche se lui si
            &gt; facesse i XXXXX propri stai pur certo che
            &gt; c'&amp;#232; senz'altro qualcun altro da
            qualche
            &gt; altra parte che non se li fa, e magari con
            &gt; intenzioni ben peggiori della semplice
            &gt; &amp;quot;prova&amp;quot;.

            beh allora andiamo a rapinare le banche, tanto da
            qualche altra parte c'e' sicuramente qualcuno che
            sta rapinando un'altra banca
            (newbie)No, se lui ha semplicemente fatto la prova di login e niente altro sarebbe come se qualcuno gli avesse detto che una banca non è protetta contro le rapine e lui fosse andato con una pistola giocattolo e avesse verificato che in effetti non lo è... e senza rubare effettivamente nulla. Certo, comportamento rischioso e se vogliamo anche stupido, ma non criminale.
          • FridayChild scrive:
            Re: ho dato un'occhiata
            No, e' un reato comunque.http://it.wikipedia.org/wiki/AcXXXXX_abusivo_a_un_sistema_informatico_o_telematicoOvviamente gli hacker hanno commesso, in primis, quel reato.Ma anche, al limite, scrivere "io sono riuscito a entrare in Facebook con quelle credenziali, provate anche voi" potrebbe essere istigazione a delinquere.http://it.wikipedia.org/wiki/Istigazione_a_delinquere
          • Nome e cognome scrive:
            Re: ho dato un'occhiata
            - Scritto da: Lorello Cuccarino
            ma non criminale.ma ci sei o ci fai?prova ad entrare in una banca con una pistola giocattolo e simulare una rapina senza rubare niente, poi vediamo se ti fanno i complimenti o no.stessa cosa per facebook o per le mail, esiste il diritto alla riservatezza ed esistono reati come l'acXXXXX abusivo a sistema informatico (si, se l'account non r' tuo stai facendo un acXXXXX abusivo nel caso non ti fosse chiaro)
          • Sky scrive:
            Re: ho dato un'occhiata
            Security by obscurity... che bella cosa... la possiamo anche tradurre "prendelo nel c**o nell'oscurità", perchè per l'appunto qualcun altro starà provando i vari sistemi (feisbuc ecc.) dove quelle user/password funzionano.
          • lputino scrive:
            Re: ho dato un'occhiata
            E' una bufala, hanno bucato un sistema sfigatissimo di un dipartimento.
          • Alberto scrive:
            Re: ho dato un'occhiata
            Poi bologna, le mail sembrano valide, le password però sono degli hash, quindi a meno che non si tratti di password banali avere l'hash è quasi inutile. Se poi dovessero essere pure con il salt...Infine torino, sono le mail e i telefoni del sito (pubblicati nel sito) di una ventina di persone, quelle hanno la password corrispondente al cognome o al nome... nessun buco di sicurezza (a livello di sistema, non di utente!) o magia da hacker, è una cosa che può fare chiunque con un po' di pazienza.
          • Gigliolo Cinquetto scrive:
            Re: ho dato un'occhiata
            I dati di Bologna sono tutti già pubblici (a parte l'username). Mi pare un vecchio DB per fare le schede pubbliche di alcuni docenti di Economia (è aggiornato al 2006). Probabilmente era un DB provvisorio e poi abbandonato.
  • bbo scrive:
    la sicurezza non paga....
    la sicurezza ha un costo enorme, e spesso è difficile quantificarne il valore aggiunto.la differenza tra un sistema non sicuro ed un sistema sicuro in condizioni normali non è percepibile. Quindi perché darsi da fare e sviluppare software fatto bene?Lo dico con tristezza, ma è così, da informatico che si occupa di sicurezza. Mi sono dato da fare anni per rendere la mia azienda sicura. Ma vedo che non paga.Chi evita tutte le trafile di sicurezza fornisce un servizio migliore e più veloce agli utenti onesti. Purtroppo fornisce un servizio migliore anche a quelli disonesti, ma non lo immagina nemmeno.E i dirigenti? Loro non hanno la minima idea, ma hanno molto più potere di un ufficio informatico!Quando verranno violati gli archivi delle pubbliche amministrazioni ne vedremo delle belle... probabilmente gli hacker non si mettono nemmeno, che soddisfazioni volete che ne traggano? è talmente facile.....!
    • Marcellus scrive:
      Re: la sicurezza non paga....
      ovvio, non paghera' mai finche' non si puo' toccare con mano e comunque richiede investimenti continui, sysadmin che mantengono i sistemi patchati etc etc che poi capirai, tutto questo serve a zero se uno ha in mano exploits 0day per apache o IIS ad esempio, l'unico sistema sicuro e' di tenere tutto OFFLINE ma pure li' che garanzie ci sono, magari questi hacks recenti li han fatti proprio gente che lavora nel CED delle stesse universita', in italia e' tutto tarallucci e vino.a parte che sono dati risibili, sarebbe piu' sfizioso un leak con emails compromettenti su concorsi e bandi truccati, corruzione dei baroni universitari etc
      • bbo scrive:
        Re: la sicurezza non paga....
        - Scritto da: Marcellus
        ovvio, non paghera' mai finche' non si puo'
        toccare con mano e comunque richiede investimenti
        continui, sysadmin che mantengono i sistemi
        patchati etc etcesatto.Servono sysadmin molto preparati, e che investono molto del loro tempo nella sicurezza. Poi il software, viene sviluppato internamente o viene acquistato? In ogni caso anche i programmatori devono essere preparati!e poi ci sono tutte le persone di mezzo, es. pensa ad un help desk di un CED: generalmente l'help desk dispone di molti privilegi, ma di poca preparazione per quanto riguarda la sicurezza! D'altra parte, le persone esperte di sicurezza cosa fai? Le metti a rispondere al telefono?
        che poi capirai, tutto questo serve a zero se uno
        ha in mano exploits 0day per apache o IIS ad
        esempio, l'unico sistema sicuro e' di tenere
        tutto OFFLINE ma pure li' che garanzie ci sono,
        magari questi hacks recenti li han fatti proprio
        gente che lavora nel CED delle stesse
        universita', in italia e' tutto tarallucci e
        vino.si di exploits 0day ce ne sono per tutti i gusti, per tutte le piattaforme e per tutti i sistemi. Certo se un sistema informatico è progettato bene anche gli attacchi 0day possono provocare soltanto pochi danni, ma se un criminale decide di attaccare proprio te... davvero c'è poco da fare.Comunque sono convinto che generalmente i sistemi sono vulnerabili ad attacchi decisamente molto più banali di quelli 0day.
        a parte che sono dati risibili, sarebbe piu'
        sfizioso un leak con emails compromettenti su
        concorsi e bandi truccati, corruzione dei baroni
        universitari
        etcsarebbe molto interessante ma... non credo siano così scemi.I testi dei concorsi in anticipo non li mandano mica ai raccomandati tramite mail... glieli consegnano direttamente di persona. Non ho le prove, ma.........In fondo lavoro presso un sistema informatico, ho pieno acXXXXX alle mail di tutta l'azienda (per ragioni di servizio, of course), ed ho subito grossi torti per via di persone paraculate/politicizzate.Sarebbe troppo bello trovare le prove via mail... ma non le ho mai nemmeno cercate! So che non troverei niente e rischierei di perdere il posto. Posto che poi finirebbe a qualche raccomandato :-)
        • Marcellus scrive:
          Re: la sicurezza non paga....
          dovresti installare una sorta di backdoor, scritta da te pero' non roba commerciale si intende, licenziarti, aspettare mesi o anni, e poi fare un leak.quello che mi fa XXXXXXXre e' che tutti parlano apertamente delle baronerie universitarie ma non c'e' mai nulla di nero su bianco (emails, pdf, ...), solo "sentito dire".tutti sanno che alcune ragazze la danno al professore ad esempio, vogliamo quindi ipotizzare ci siano emails compromettenti ? sms ? chats ?dico io, sti Anonymous sostengono di aver crackato qua e la' ma di sfizioso non c'e' assolutamente nulla e quindi nulla cambiera'.
          • ciccio quanta ciccia scrive:
            Re: la sicurezza non paga....
            Beh non c'è perché si spera che non siano idioti come i politici di turno e che quindi tutto avvenga di persona e senza lasciare traccia. Anche avendo garantita l'impunità, bisognerebbe essere veramente gnucchi a mandare mail tipo: "Cara ABC, passa da me dopo lezioni così me la dai e ti faccio passare Fisica 1." eh!?;)
          • panda rossa scrive:
            Re: la sicurezza non paga....
            - Scritto da: ciccio quanta ciccia
            Beh non c'&#232; perch&#233; si spera che non
            siano idioti come i politici di turno e che
            quindi tutto avvenga di persona e senza lasciare
            traccia. Anche avendo garantita l'impunit&#224;,
            bisognerebbe essere veramente gnucchi a mandare
            mail tipo: &quot;Cara ABC, passa da me dopo
            lezioni cos&#236; me la dai e ti faccio passare
            Fisica 1.&quot;
            eh!?;)E' per questo che la casta vuole far passare la legge che condanna a morte il giornalista che pubblicasse le intercettazioni telefoniche, perche' nelle mail quel testo non c'e', ma c'e' sicuramente nelle registrazioni delle intercettazioni dei telefonini...
      • lul scrive:
        Re: la sicurezza non paga....
        - Scritto da: Marcellus
        ovvio, non paghera' mai finche' non si puo'
        toccare con mano e comunque richiede investimenti
        continui, sysadmin che mantengono i sistemi
        patchati etc etc


        che poi capirai, tutto questo serve a zero se uno
        ha in mano exploits 0day per apache o IIS ad
        esempio, l'unico sistema sicuro e' di tenere
        tutto OFFLINE ma pure li' che garanzie ci sono,
        magari questi hacks recenti li han fatti proprio
        gente che lavora nel CED delle stesse
        universita', in italia e' tutto tarallucci e
        vino.

        a parte che sono dati risibili, sarebbe piu'
        sfizioso un leak con emails compromettenti su
        concorsi e bandi truccati, corruzione dei baroni
        universitari
        etcnon è esatto, anche contro uno 0day puoi combattere con policy serie, un tuning del sistema per riservare gli accessi, bloccare accessi in scrittura, patchare, eliminare pacchetti e servizi inutili, backups, sandbox, honeypot, e cosi via, difficile che un attacker seriale come questi possano fare grandi danni quando la macchina è tenuta da chi sa metterci mano davvero
        • Marcellus scrive:
          Re: la sicurezza non paga....
          si ma nei fatti han tutti aperto http, ftp, telnet, ssh, sendmail, etc se tu hai uno 0day secondo te gli omini del CED di turno che fanno ?e poi del CSRF ne vogliamo parlare ? se uno lavora dentro sa benissimo come fare ste cose, tanto piu' essendo "trusted".ci sono enti statali che usano CMS dei primi anni 90, rendiamoci conto, con le password in chiaro o solo in MD5, ricordo un cliente che aveva le password in XOR addirittura.
  • littlegauss scrive:
    Che pagliacci
    Che pagliacci, non hanno bucato proprio niente, quattro email in croce di chissà quali account abbandonati. C'è crisi anche tra i cracker...
    • little clown scrive:
      Re: Che pagliacci
      Pagliaccissimo: per dirne una, ci una sono i dati in chiaro di 8mila studenti circa della Milano Bicocca. Del resto non sai di cosa parli, e non sei nemmeno in grado di leggere due txt. Che poi se guardi bene scopriresti che... ma che te lo dico a fare? E' così bello commentare a caso: keep going.
      • Nome e cognome scrive:
        Re: Che pagliacci
        trovare qualche vulnerabilita' ci puo' stare, ma usare il bruteforce sulle password (es: unito) e' da lamer e basta.e comunque non c'e' bisogno di pubblicare i numeri di telefono di gente comune per dimostrare che sei bravo... carenza d'affetto?
        • desyrio scrive:
          Re: Che pagliacci

          non c'e' bisogno di pubblicare i numeri di telefono di gente comune per dimostrare che sei bravoNon ti è chiaro il concetto di "for the lulz" forse?
          • Nome e cognome scrive:
            Re: Che pagliacci
            no, evidentemente abbiamo concetti diversi di divertimento
          • desyrio scrive:
            Re: Che pagliacci
            Beh, nemmeno io lo considero divertente, ma non si può ignorare che c'è una grossa parte di persone (per es. scuola 4chan) per cui invece lo è.
          • Nome e cognome scrive:
            Re: Che pagliacci
            - Scritto da: desyrio
            Beh, nemmeno io lo considero divertente, ma non
            si pu&#242; ignorare che c'&#232; una grossa
            parte di persone (per es. scuola 4chan) per cui
            invece lo
            &#232;.si quindi si conferma la mia ipotesi: carenza d'affetto
        • krane scrive:
          Re: Che pagliacci
          - Scritto da: Nome e cognome
          trovare qualche vulnerabilita' ci puo' stare, ma
          usare il bruteforce sulle password (es: unito) e'
          da lamer e basta.Piu' che altro e' eccessivo, visto che la password di default e mai cambiata da diversi professori e': "professore".
          e comunque non c'e' bisogno di pubblicare i
          numeri di telefono di gente comune per dimostrare
          che sei bravo... carenza d'affetto?
      • littlegauss scrive:
        Re: Che pagliacci
        ripeto, non hanno rubato proprio una cippa, sono quattro lamer in croce, e tu sei un trollone.
    • Lupix scrive:
      Re: Che pagliacci
      Verificato per l'univ di lecce... login e pass fanno entrare nell'area personale dei docenti.... se non è vero questo.....
      • littlegauss scrive:
        Re: Che pagliacci
        E' vero,ma è proprio questo a cui punta il lamer, all'inutile. L'inutilità di leggere le email d'ufficio di Lecce, fosse pisa o il politecnico, fossero i calcoli di alinghi, fosse roba seria ti darei pure ragione, ma cosi è come girare per le case a bucare le wep e sniffare le chattatine su facebook, è da lamer...
  • uni to scrive:
    mi par na HaHata
    sto guardando l'elenco di ben n.13 studenti dell'uni TO..il nome del primo esiste iscritto all'uni a to, ma nome e cognome come li ho trovati io così potrebbero trovarlo tutti;di n.di cellulari ce ne sono ben 2di n. fissi ci sono tutti ma cosa curiosa:a)non esiste nessuno di questi su paginebiancheb)sono (dovrebbero) essere tutti residenti a torino dato che inizia per 011;c) non solo: iniziano tutti per 011670 : non vi pare un pò una HaHata??
    • yoghi scrive:
      Re: mi par na HaHata
      - Scritto da: uni to
      sto guardando l'elenco di ben n.13 studenti
      dell'uni
      TO..

      il nome del primo esiste iscritto all'uni a to,
      ma nome e cognome come li ho trovati io cos&#236;
      potrebbero trovarlo
      tutti;

      di n.di cellulari ce ne sono ben 2
      di n. fissi ci sono tutti ma cosa curiosa:
      a)non esiste nessuno di questi su paginebianche
      b)sono (dovrebbero) essere tutti residenti a
      torino dato che inizia per
      011;
      c) non solo: iniziano tutti per 011670 : non vi
      pare un p&#242; una
      HaHata??a) magari non hanno dato il consenso alla pubblicazioneb) probabile. D'altronde, un elenco di 13 persone non è che sia il massimo su cui fare statistica, non trovi?c) vedi risposta sopra e anche in un altro thread.
      • aaaaaaaaa scrive:
        Re: mi par na HaHata
        No iniziano per 670 perché tutti i numeri degli uffici ecc iniziano così ed il prefisso è 011 perché tali uffici sono in Torinovai su www.unito.it e scrivi Rossi nel motore di ricerca. Guarda i numeri di tel....
        • uni to scrive:
          Re: mi par na HaHata
          e allora a maggior ragione è una bufala: ti pare che 13 studenti abbiano tutti i numeri di telefono di casa corrispondenti a degli uffici??
          • Nome e cognome scrive:
            Re: mi par na HaHata
            infatti non sono studenti, come dice google: http://library.unito.it/staff.php
    • Sysadmin unito scrive:
      Re: mi par na HaHata
      i dati non provengono da alcun archivio segreto, sono gli utenti che hanno una pass debole ed è stata trovata in forza bruta contro un servizio web.I dati sono quelli della rubrica telefonica ed i numeri sono ahimè del centralino unito, come si può verificare sul portale di ateneo.Confermo parzialmente l'oggetto ...
  • shevathas scrive:
    però le password in chiaro...
    posso capire le liste con i nomi, cognomi e codice fiscale, ma cavolo memorizzare password in chiaro è proprio da "diversamente aquile". Credevo che oramai lo sapessero anche i sassi che conviene memorizzare gli hash delle password.
    • hermanhesse scrive:
      Re: però le password in chiaro...
      Sì, però se poi la password è "ciao" anche così non ci va molto.Magari in effetti si sono scaricati via sql injection le tabelle degli utenti e poi hanno fatto un bruteforce... si spiegherebbe perchè di alcuni hanno le pass e di altri no (se ho capito bene).
      • shevathas scrive:
        Re: però le password in chiaro...
        - Scritto da: hermanhesse
        S&#236;, per&#242; se poi la password &#232;
        &quot;ciao&quot; anche cos&#236; non ci va
        molto.vero, ma in questo caso è stata colpa dell'utente scegliere una password idiota, nulla può essere ascritto al sistemista o al programmatore, soprattutto se ti forzano a scegliere una password di 8 caratteri con maiuscole, minuscole e numeri. Poi l'utonto sceglie Password1 è lui l'idiota.
        Magari in effetti si sono scaricati via sql
        injection le tabelle degli utenti e poi hanno
        fatto un bruteforce... si spiegherebbe
        perch&#232; di alcuni hanno le pass e di altri no
        (se ho capito
        bene).da quello che ho capito a quanto pare in alcune tabelle venivano memorizzate le password in chiaro. Aspettiamo notizie successive.
        • Baffo scrive:
          Re: però le password in chiaro...
          - Scritto da: shevathas
          - Scritto da: hermanhesse
          &gt; S&amp;#236;, per&amp;#242; se poi la
          password
          &amp;#232;
          &gt; &amp;quot;ciao&amp;quot; anche cos&amp;#236;
          non ci
          va
          &gt; molto.

          vero, ma in questo caso &#232; stata colpa
          dell'utente scegliere una password idiota, nulla
          pu&#242; essere ascritto al sistemista o al
          programmatore, soprattutto se ti forzano a
          scegliere una password di 8 caratteri con
          maiuscole, minuscole e numeri. Poi l'utonto
          sceglie Password1 &#232; lui l'idiota.non è solo un problema dell'utente.se si usasse il salt (o anche più di uno) quando si fanno gli hash anche con la password "ciao" non ci sarebbero problemi
          • per maggior sicurezza scrive:
            Re: però le password in chiaro...
            - Scritto da: Baffo
            - Scritto da: shevathas
            &gt; - Scritto da: hermanhesse
            &gt; &amp;gt; S&amp;amp;#236;, per&amp;amp;#242;
            se poi
            la
            &gt; password
            &gt; &amp;amp;#232;
            &gt; &amp;gt; &amp;amp;quot;ciao&amp;amp;quot;
            anche
            cos&amp;amp;#236;
            &gt; non ci
            &gt; va
            &gt; &amp;gt; molto.
            &gt;
            &gt; vero, ma in questo caso &amp;#232; stata
            colpa
            &gt; dell'utente scegliere una password idiota,
            nulla
            &gt; pu&amp;#242; essere ascritto al sistemista o
            al
            &gt; programmatore, soprattutto se ti forzano a
            &gt; scegliere una password di 8 caratteri con
            &gt; maiuscole, minuscole e numeri. Poi l'utonto
            &gt; sceglie Password1 &amp;#232; lui l'idiota.

            non &#232; solo un problema dell'utente.
            se si usasse il salt (o anche pi&#249; di uno)
            quando si fanno gli hash anche con la password
            &quot;ciao&quot; non ci sarebbero
            problemiScusa potresti spiegare un po' meglio questa cosa o darmi qualche riferimento ?Grazie
          • shevathas scrive:
            Re: però le password in chiaro...

            Scusa potresti spiegare un po' meglio questa cosa
            o darmi qualche riferimento
            ?
            Graziesi tratta di usare una parola segreta, il salt, per cifrare le password degli utenti. In pratica nel database memorizzi il risultato dell'operazioneHash(Password xor Salt), o qualcosa di simile.Così da invalidare gli attacchi usati creandosi un dizionario di hash.
          • per maggior sicurezza scrive:
            Re: però le password in chiaro...
            - Scritto da: shevathas
            &gt; Scusa potresti spiegare un po' meglio questa
            cosa
            &gt; o darmi qualche riferimento
            &gt; ?
            &gt; Grazie

            si tratta di usare una parola segreta, il salt,
            per cifrare le password degli utenti. In pratica
            nel database memorizzi il risultato
            dell'operazione
            Hash(Password xor Salt), o qualcosa di simile.
            Cos&#236; da invalidare gli attacchi usati
            creandosi un dizionario di
            hash.grazie, ora ho elementi per indagare :)
          • shevathas scrive:
            Re: però le password in chiaro...

            non &#232; solo un problema dell'utente.
            se si usasse il salt (o anche pi&#249; di uno)
            quando si fanno gli hash anche con la password
            &quot;ciao&quot; non ci sarebbero
            problemiil salt ha comunque il problema che deve essere scritto da qualche parte, o in un altra tabella del DB, ma se ti fottono il DB è XXXXXXX, o in un file di configurazione, oppure come costante direttamente nell'applicazione, cosa alquanto scomoda.La scelta più intelligente è in file di configurazione, magari con un salt random generato ad hoc, aumenta di molto la protezione ma non ti blinda purtroppo, se riescono a scaricare i file di configurazione in ogni caso rimani fregato.
          • panda rossa scrive:
            Re: però le password in chiaro...
            - Scritto da: shevathas
            il salt ha comunque il problema che deve essere
            scritto da qualche parte, o in un altra tabella
            del DB, Non necessariamente.Puo' anche essere generato in runtime.
          • lul scrive:
            Re: però le password in chiaro...
            - Scritto da: panda rossa
            - Scritto da: shevathas

            &gt; il salt ha comunque il problema che deve
            essere
            &gt; scritto da qualche parte, o in un altra
            tabella
            &gt; del DB,

            Non necessariamente.
            Puo' anche essere generato in runtime.o salvato in una sandbox con acXXXXX limitato
          • shevathas scrive:
            Re: però le password in chiaro...
            - Scritto da: panda rossa
            - Scritto da: shevathas

            &gt; il salt ha comunque il problema che deve
            essere
            &gt; scritto da qualche parte, o in un altra
            tabella
            &gt; del DB,

            Non necessariamente.
            Puo' anche essere generato in runtime.si, ma in ogni caso da qualche parte devi segnartelo. :(rende più difficile ma non impossibile. Come sempre, nel caso della sicurezza.
          • Bah scrive:
            Re: però le password in chiaro...
            - Scritto da: shevathas
            &gt; non &amp;#232; solo un problema dell'utente.
            &gt; se si usasse il salt (o anche pi&amp;#249;
            di
            uno)
            &gt; quando si fanno gli hash anche con la
            password
            &gt; &amp;quot;ciao&amp;quot; non ci sarebbero
            &gt; problemi

            il salt ha comunque il problema che deve essere
            scritto da qualche parte, o in un altra tabella
            del DB, ma se ti fottono il DB &#232; XXXXXXX, o
            in un file di configurazione, oppure come
            costante direttamente nell'applicazione, cosa
            alquanto
            scomoda.
            La scelta pi&#249; intelligente &#232; in file di
            configurazione, magari con un salt random
            generato ad hoc, aumenta di molto la protezione
            ma non ti blinda purtroppo, se riescono a
            scaricare i file di configurazione in ogni caso
            rimani
            fregato.Il salt non è segreto, è semplicemente una serie di bit (solitamente random) che viene aggiunta alla password prima di creare l'hash. Il salt serve per evitare gli attacchi a dizionario, e basta. Non deve essere segreto.Senza salt, se hai un DB con 10.000 hash, se gli utenti usano una parola da dizionario con una sola passata trovi TUTTI gli utenti che hanno usato quella parola. Con il salt, devi ripetere l'operazione 10.000 volte invece.Per esempio se uso "ciao"sha256 = b133a0c0e9bee3be20163d2ad31d6248db292aa6dcb1ee087a2aa50e0fc75ae2Quando il tuo programma per craccare le password arriva a "ciao", trova tutti gli utenti che hanno utilizzato quella parola nel DB.Con il salt, invece, devi prima estrarre il salt da ogni record, e poi calcolare l'hash con un attacco a dizionario su OGNI SINGOLO HASH invece che sull'intero database. Per un database di una sola password non farebbe alcuna differenza, ma con migliaia di record hai voglia se fa differenza in termini di "tempo necessario per eseguire un attacco a dizionario".
          • Beps scrive:
            Re: però le password in chiaro...
            anche se il salt lo salvi nel db, chi attacca non può facilmente sapere in che modo l'hai combinato con la password prima di farci l'hash.hash(salt+password) è facile, mahash(salt+hash(salt)+hash(salt+password)+password)) lo è di meno da scopriremy 2 centsciaoGiuseppe
          • Sky scrive:
            Re: però le password in chiaro...
            In genere il motivo per cui si memorizza nel sistema (ovviamente in chiaro) il salt è che questo serve come "seme" per la generazione di un numero pseudo-casuale (stesso salt, stesso pseudorandom) tipico del sistema (sistema diverso + stesso salt = diverso pseudorandom) e solo a quel punto hai password_hash = (salt)pseudorandom + XOR_o_altro(password).Questo, come diceva già Bah, per ottenere hash diversi anche partendo da password identiche.L'algoritmo di generazione dell'hash non dev'essere necessariamente una cosa assurda: basta ad esempio fare 3 XOR a bit su stringhe di 32 caratteri per avere una sicurezza "discreta" (diciamo "casalinga": in un'università mi aspetto di meglio). Poi oggi ci sono generatori MD5 già pronti per cui...
          • Bah scrive:
            Re: però le password in chiaro...
            - Scritto da: Beps
            anche se il salt lo salvi nel db, chi attacca non
            pu&#242; facilmente sapere in che modo l'hai
            combinato con la password prima di farci
            l'hash.

            hash(salt+password) &#232; facile, ma

            hash(salt+hash(salt)+hash(salt+password)+password)

            my 2 centsNo, nè il salt nè l'algoritmo devono essere segreti: il fatto che siano "segreti" è una semplice illusione di sicurezza. L'unica cosa segreta deve essere la chiave o, in questo caso, le password. Scegliendo una password pessima non c'è algoritmo "segreto" che tenga: uno che sa la propria password e conosce l'hash a questo punto potrebbe capire l'algoritmo abbastanza facilmente. Il salt, come si diceva, serve solo per rendere lenta l'operazione di cracking. Certo, un'ulteriore passo da quel punto di vista potrebbe essere non fare un singolo hash sulla stringa ma farne che so, 10 (sempre assumendo che l'algoritmo di hash sia buono eh).
    • . . . scrive:
      Re: però le password in chiaro...
      Quoto.Vedo che quelle delle password in chiaro è prassi comune.Complimenti.Ho visto anche delle password di sysadmin pubblicate da LulzSec un paio di settimane fa.Lasciamo perdere va... e sarebbero dei sysadmin ?
  • panda rossa scrive:
    Invece di CHI? chiedetevi PERCHE?
    Invece di chidervi chi c'e' dietro queste sigle, chiedetevi perche' stanno facendo tutto questo.O la risposta e' troppo evidente?
    • no problem scrive:
      Re: Invece di CHI? chiedetevi PERCHE?
      perche' non hanno un hobby e non gli passa un XXXXX, forse?
      • hermanhesse scrive:
        Re: Invece di CHI? chiedetevi PERCHE?
        LOL!Beh, secondo me non c'è un vero perchè, ma la cosa si sta facendo molto seria.
        • uni to scrive:
          Re: Invece di CHI? chiedetevi PERCHE?
          guardate che per me è un bluff. a torino i numeri di telefono iniziano tutti con gli stessi primi 5 numeri, tutti col prefisso di TO.Io son iscritto, ma mica ci abito, a torino! non sono nemmeno nella stessa provincia,e come me migliaia di studenti!
      • krane scrive:
        Re: Invece di CHI? chiedetevi PERCHE?
        - Scritto da: no problem
        perche' non hanno un hobby e non gli passa un
        XXXXX, forse?Quindi 4 ragazzetti che non hanno da fare girellano per dati che dovrebberoessere riversavi ? Bella sicurezza !
        • Succhiolo scrive:
          Re: Invece di CHI? chiedetevi PERCHE?
          Con ce la si deve prendere? coi 4 ragazzetti o con le universita-colabrodo?:)
    • Anonymous scrive:
      Re: Invece di CHI? chiedetevi PERCHE?
      come dice anche il nome del gruppo... "for the lulz".ovvero, vedi la risposta di "nr: no problem".il vero problema è che tanti servizi web di interesse pubblico sono fatti coi piedi e permettono al criminale di turno di scaricarsi il database... con tanto di dati personali e persino password in chiaro. (hash crittografici? mai sentito nominare... cosa sono?)
      • . . . scrive:
        Re: Invece di CHI? chiedetevi PERCHE?
        Mai sentito a quanto pare... sempre che la notizia non sia un fake.
      • francososo scrive:
        Re: Invece di CHI? chiedetevi PERCHE?
        "Today is a great day for us all, and a very bad one for italian universities.Their sites are full of weaknesses. Some of them even think being secure,so they don't mind hashing their passwordz.And you, Italian people, are giving all your data to idiots like these?Is it a joke?"Change your passwordz, guys.Change your concept of security, universities.We could have leaked much more.We could have destroyed your db and your network.Were you ready for this?"Questo nella descrizione del torrent di LulzStorm : io sottolinerei "Their sites are full of weaknesses" riferito alle università italiane !Il senso è " ma la sicurezza da voi non sta di casa !"
    • Marco scrive:
      Re: Invece di CHI? chiedetevi PERCHE?
      La domanda piuttosto è: era necessario pubblicare dati sensibili degli studenti per mostrare che i siti sono pieni di debolezze???
      • lul scrive:
        Re: Invece di CHI? chiedetevi PERCHE?
        - Scritto da: Marco
        La domanda piuttosto &#232;: era necessario
        pubblicare dati sensibili degli studenti per
        mostrare che i siti sono pieni di
        debolezze???magari qualcuno muove il XXXX se viene denunciato per non aver tenuto i dati al sicuro
        • Nome e cognome scrive:
          Re: Invece di CHI? chiedetevi PERCHE?
          alcuni dati sono chiaramente ottenuti tramite dictionary bruteforce delle password e non per difetti del sistema
          • dfghdhdfghg df scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            alcuni dati sono chiaramente ottenuti tramite
            dictionary bruteforce delle password e non per
            difetti del
            sistemaah perchè permettere di utilizzare password banali non è un difetto del sistema? ci sono i mezzi software per obbligare gli utenti ad usare password non banali, se non li si adotta è una difetto eccome
          • shevathas scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: dfghdhdfghg df
            - Scritto da: Nome e cognome
            &gt; alcuni dati sono chiaramente ottenuti tramite
            &gt; dictionary bruteforce delle password e non
            per
            &gt; difetti del
            &gt; sistema

            ah perch&#232; permettere di utilizzare password
            banali non &#232; un difetto del sistema? ci sono
            i mezzi software per obbligare gli utenti ad
            usare password non banali, se non li si adotta
            &#232; una difetto
            eccomeal più puoi imporre una lunghezza minima, e la presenza obbligatoria di classi di caratteri, ad esempio una maiuscola, una minuscola, un numero. Ma poi magari l'idiota ti sceglie "Password1".
          • ciccio quanta ciccia scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            Ma quando mai... se impedisci di inserire un termine da una lista di parole l'utente nella pw non ce la mette. Sta a chi CREA il sistema far sì che sia il più sicuro possibile. La sicurezza assoluta non esiste ma la stupidità sì!
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            ma saranno anche affari dell'utente la password che usa? ti pare che qualcuno abbia il diritto di provare password a caso per entrare negli account personali altrui? (e si parla di account personali, non di amministratori che sarebbero tenuti a mantenere un certo livello di sicurezza)ma che andassero a testare dal vivo i sistemi di sicurezza delle case tentando di entrare dalle finestre aperte, cosi' quando si beccano un pugno sul naso si fanno furbi...
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            ma saranno anche affari dell'utente la password
            che usa? ti pare che qualcuno abbia il diritto di
            provare password a caso per entrare negli account
            personali altrui? (e si parla di account
            personali, non di amministratori che sarebbero
            tenuti a mantenere un certo livello di
            sicurezza)
            ma che andassero a testare dal vivo i sistemi di
            sicurezza delle case tentando di entrare dalle
            finestre aperte, cosi' quando si beccano un pugno
            sul naso si fanno furbi...Fai cosi: smonta le porte di casa tua, tanto la legge proibisce agli sconosciuti di entrare nella tua proprieta'.
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: krane
            - Scritto da: Nome e cognome
            &gt; ma saranno anche affari dell'utente la
            password
            &gt; che usa? ti pare che qualcuno abbia il
            diritto
            di
            &gt; provare password a caso per entrare negli
            account
            &gt; personali altrui? (e si parla di account
            &gt; personali, non di amministratori che
            sarebbero
            &gt; tenuti a mantenere un certo livello di
            &gt; sicurezza)
            &gt; ma che andassero a testare dal vivo i
            sistemi
            di
            &gt; sicurezza delle case tentando di entrare
            dalle
            &gt; finestre aperte, cosi' quando si beccano un
            pugno
            &gt; sul naso si fanno furbi...


            Fai cosi: smonta le porte di casa tua, tanto la
            legge proibisce agli sconosciuti di entrare nella
            tua
            proprieta'.le password c'erano, quindi le porte erano chiuse a chiave.erano password banali? guarda, ti assicuro che il 99% delle serrature di casa si possono tranquillamente aprire in meno di 5 secondi con attrezzi piu' che banali.magari le password erano banali perche' si in un account universitario non c'e' niente di interessante da rubare, ma questo non ti da il diritto di mettere in giro i dati personali della gente...
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            - Scritto da: krane
            &gt; - Scritto da: Nome e cognome
            &gt; &amp;gt; ma saranno anche affari dell'utente
            la
            &gt; password
            &gt; &amp;gt; che usa? ti pare che qualcuno abbia
            il
            &gt; diritto
            &gt; di
            &gt; &amp;gt; provare password a caso per entrare
            negli
            &gt; account
            &gt; &amp;gt; personali altrui? (e si parla di
            account
            &gt; &amp;gt; personali, non di amministratori che
            &gt; sarebbero
            &gt; &amp;gt; tenuti a mantenere un certo livello
            di
            &gt; &amp;gt; sicurezza)
            &gt; &amp;gt; ma che andassero a testare dal vivo
            i
            &gt; sistemi
            &gt; di
            &gt; &amp;gt; sicurezza delle case tentando di
            entrare
            &gt; dalle
            &gt; &amp;gt; finestre aperte, cosi' quando si
            beccano
            un
            &gt; pugno
            &gt; &amp;gt; sul naso si fanno furbi...
            &gt;
            &gt;
            &gt; Fai cosi: smonta le porte di casa tua, tanto
            la
            &gt; legge proibisce agli sconosciuti di entrare
            nella
            &gt; tua
            &gt; proprieta'.
            le password c'erano, quindi le porte erano chiuse
            a chiave.I professori avevano password: "professore", hai dato un'occhiata all'archivio ?
            erano password banali? guarda, ti assicuro che il
            99% delle serrature di casa si possono
            tranquillamente aprire in meno di 5 secondi con
            attrezzi piu' che banali.Qui si parla di aprire la porta girando la maniglia, non e' servito forzare nessuna serratura.
            magari le password erano banali perche' si in un
            account universitario non c'e' niente di
            interessante da rubare, ma questo non ti da il
            diritto di mettere in giro i dati personali della
            gente...Quindi perche' la banca in cui tieni i tuoi soldi usa cassaforti ? Basta la legge a proteggerla no ? Pensa a quanto ti fanno spendere in manutenzione del sistema di sicurezza e ti scioccamente paghi !
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: krane

            Qui si parla di aprire la porta girando la
            maniglia, non e' servito forzare nessuna
            serratura.Quale maniglia?Qui si parla di porte che si spalancano automaticamente se ti avvicini alla fotocellula!
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?

            &gt; le password c'erano, quindi le porte erano
            chiuse
            &gt; a chiave.

            I professori avevano password:
            &quot;professore&quot;, hai dato un'occhiata
            all'archivio
            ?e quindi? andiamo a pitturare i monumenti per dimostrare che quel XXXXXXXXXX di michelangelo si e' dimenticato di dargli una mano di idrorepellente...
            Qui si parla di aprire la porta girando la
            maniglia, non e' servito forzare nessuna
            serratura.ah allora perche' si chiama bruteforce?
            Quindi perche' la banca in cui tieni i tuoi soldi
            usa cassaforti ? Basta la legge a proteggerla no
            ? Pensa a quanto ti fanno spendere in
            manutenzione del sistema di sicurezza e ti
            scioccamente paghi
            !mi quoto da solo...
            magari le password erano banali perche' in un
            account universitario non c'e' niente di
            interessante da rubare
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            ah allora perche' si chiama bruteforce?Se si chiamasse pinkopall, ti piaceva di piu'?E' una procedura che lanci cliccando qualcosa, e poi te ne vai al bar un paio d'ore, e quando torni vedi che cosa ha trovato.Che ti frega di come agisce la procedura?Se l'ingresso fosse stato protetto come si deve, dopo due ore il tizio tornava dal bar e non trovava nessun account.
            mi quoto da solo...
            &gt; magari le password erano banali perche' in un
            &gt; account universitario non c'e' niente di
            &gt; interessante da rubareChe cosa ne sai te di che cosa e' interessante?
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: panda rossa
            - Scritto da: Nome e cognome

            &gt; ah allora perche' si chiama bruteforce?

            Se si chiamasse pinkopall, ti piaceva di piu'?
            E' una procedura che lanci cliccando qualcosa, e
            poi te ne vai al bar un paio d'ore, e quando
            torni vedi che cosa ha
            trovato.
            Che ti frega di come agisce la procedura?scusa non hai detto che e' come girare la maniglia della porta? tentare password a caso e' come andarsene in giro con un set di chiavi a tentare di aprire le porte, non e'semplicemente girare una maniglia....
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            - Scritto da: panda rossa
            &gt; - Scritto da: Nome e cognome
            &gt;
            &gt; &amp;gt; ah allora perche' si chiama
            bruteforce?
            &gt;
            &gt; Se si chiamasse pinkopall, ti piaceva di
            piu'?
            &gt; E' una procedura che lanci cliccando
            qualcosa,
            e
            &gt; poi te ne vai al bar un paio d'ore, e quando
            &gt; torni vedi che cosa ha
            &gt; trovato.
            &gt; Che ti frega di come agisce la procedura?

            scusa non hai detto che e' come girare la
            maniglia della porta?

            tentare password a caso e' come andarsene in giro
            con un set di chiavi a tentare di aprire le
            porte, non e'semplicemente girare una
            maniglia....No, non ho parlato di maniglia io, ma di fotocellula che fa spalancare la porta quando ti avvicini.Si tratta semplicemente di camminare lungo la strada dove ci sono le porte, e vedere quando una di queste porte si apre automaticamente non appena la fotocellula rileva la tua presenza.A quel punto, se permetti, una porta che si apre automaticamente quando rileva la mia presenza, io la interpreto come un invito ad entrare.
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?

            No, non ho parlato di maniglia ioscusa, ho confuso con l'altro utente, ma di
            fotocellula che fa spalancare la porta quando ti
            avvicini.scusa eh ma se tu non vai fisicamente con le tue manine ad inserire la password (o a lanciare un programma che lo fa in automatico... vabbe il concetto e' lo stesso) l'account non ti si apre da solo per magia nel browser
            Si tratta semplicemente di camminare lungo la
            strada dove ci sono le porte, e vedere quando una
            di queste porte si apre automaticamente non
            appena la fotocellula rileva la tua
            presenza.ma anche no, il paragone non ci sta proprio per niente
            A quel punto, se permetti, una porta che si apre
            automaticamente quando rileva la mia presenza, io
            la interpreto come un invito ad
            entrare.ah allora stanotte vengo a lanciarti una bomba carta (=diffondere dati personali) attraverso la finestra perche' anche io ho il diritto di divertirmi un po', no?
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            &gt; No, non ho parlato di maniglia io
            scusa, ho confuso con l'altro utente

            , ma di
            &gt; fotocellula che fa spalancare la porta
            quando
            ti
            &gt; avvicini.
            scusa eh ma se tu non vai fisicamente con le tue
            manine ad inserire la password (o a lanciare un
            programma che lo fa in automatico... vabbe il
            concetto e' lo stesso) l'account non ti si apre
            da solo per magia nel browserEsattamente come se non vai fisicamente davanti a una porta con fotocellula.
            &gt; Si tratta semplicemente di camminare lungo la
            &gt; strada dove ci sono le porte, e vedere
            quando
            una
            &gt; di queste porte si apre automaticamente non
            &gt; appena la fotocellula rileva la tua
            &gt; presenza.
            ma anche no, il paragone non ci sta proprio per
            niente

            &gt; A quel punto, se permetti, una porta che si
            apre
            &gt; automaticamente quando rileva la mia
            presenza,
            io
            &gt; la interpreto come un invito ad
            &gt; entrare.

            ah allora stanotte vengo a lanciarti una bomba
            carta (=diffondere dati personali) attraverso la
            finestra perche' anche io ho il diritto di
            divertirmi un po',
            no?Fa pure...Sappi pero' che io non ho la fotocellula che apre automaticamente la mia porta, e ho pure i doppi vetri, quindi la tua bomba carta mi fa poco effetto...
          • Ipnomate scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            Ma semplicemente capire che è una metafora der cappio?Gli account universitari non sono porte, e non sono case, e non sono automobili, e...
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            &gt; No, non ho parlato di maniglia io
            scusa, ho confuso con l'altro utente

            , ma di
            &gt; fotocellula che fa spalancare la porta
            quando
            ti
            &gt; avvicini.
            scusa eh ma se tu non vai fisicamente con le tue
            manine ad inserire la password (o a lanciare un
            programma che lo fa in automatico... vabbe il
            concetto e' lo stesso) l'account non ti si apre
            da solo per magia nel browser

            &gt; Si tratta semplicemente di camminare lungo la
            &gt; strada dove ci sono le porte, e vedere
            quando
            una
            &gt; di queste porte si apre automaticamente non
            &gt; appena la fotocellula rileva la tua
            &gt; presenza.
            ma anche no, il paragone non ci sta proprio per
            niente

            &gt; A quel punto, se permetti, una porta che si
            apre
            &gt; automaticamente quando rileva la mia
            presenza,
            io
            &gt; la interpreto come un invito ad
            &gt; entrare.
            ah allora stanotte vengo a lanciarti una bomba
            carta (=diffondere dati personali) attraverso la
            finestra perche' anche io ho il diritto di
            divertirmi un po', no?Quindi perche' la banca in cui tieni i tuoi soldi usa cassaforti ? Basta la legge a proteggerla no ? Pensa a quanto ti fanno spendere in manutenzione del sistema di sicurezza e ti scioccamente paghi !
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: krane
            Quindi perche' la banca in cui tieni i tuoi soldi
            usa cassaforti ? Non e' tanto la cassaforte, che io quella, come cliente neanche la vedo.Sono quelle porte girevoli all'ingresso che si entra uno alla volta che mi fanno incavolare.Potrebbero mettere un bel paio di porte tipo quelle da saloon del vecchio west.
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: krane
            Quindi perche' la banca in cui tieni i tuoi soldi
            usa cassaforti ? Basta la legge a proteggerla no
            ? Pensa a quanto ti fanno spendere in
            manutenzione del sistema di sicurezza e ti
            scioccamente paghi
            !mi pare di averi gia' risposto a questa precisa identica domanda ri-quotandomi una risposta che ti avevo gia' dato...
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            - Scritto da: krane
            &gt; Quindi perche' la banca in cui tieni i tuoi
            soldi
            &gt; usa cassaforti ? Basta la legge a
            proteggerla
            no
            &gt; ? Pensa a quanto ti fanno spendere in
            &gt; manutenzione del sistema di sicurezza e ti
            &gt; scioccamente paghi
            &gt; !
            mi pare di averi gia' risposto a questa precisa
            identica domanda ri-quotandomi una risposta che
            ti avevo gia' dato...E io rispondo alla tua affermazione: sai quanto risparmieresti se la tua banca avesse le cassaforti fatte di stagnola ? Perche' non ti lamenti dei costi della sicurezza ?
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            scusa ma tu in casa tua hai lo stesso livello di sicurezza che hanno in banca?se mi rispondi affermativamente possiamo continuare a discuterne, altrimenti taci e basta.
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            scusa ma tu in casa tua hai lo stesso livello di
            sicurezza che hanno in
            banca?
            se mi rispondi affermativamente possiamo
            continuare a discuterne, altrimenti taci e
            basta.Per quanto riguarda la protezione dei miei dati digitali, io credo di non sbagliare di tanto se affermo che il livello di sicurezza che adotto io e' estremamente superiore a quello di una banca.
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: panda rossa
            - Scritto da: Nome e cognome
            &gt; scusa ma tu in casa tua hai lo stesso
            livello
            di
            &gt; sicurezza che hanno in
            &gt; banca?
            &gt; se mi rispondi affermativamente possiamo
            &gt; continuare a discuterne, altrimenti taci e
            &gt; basta.

            Per quanto riguarda la protezione dei miei dati
            digitali, io credo di non sbagliare di tanto se
            affermo che il livello di sicurezza che adotto io
            e' estremamente superiore a quello di una
            banca.http://punto-informatico.it/b.aspx?i=3209134&m=3210661#p3210661sisi sei proprio un volpone guarda, i tuoi dati digitali hanno un livello di sicurezza superiore a quello militare direi...ciao..
          • panda rossa scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            - Scritto da: panda rossa
            &gt; - Scritto da: Nome e cognome
            &gt; &amp;gt; scusa ma tu in casa tua hai lo
            stesso
            &gt; livello
            &gt; di
            &gt; &amp;gt; sicurezza che hanno in
            &gt; &amp;gt; banca?
            &gt; &amp;gt; se mi rispondi affermativamente
            possiamo
            &gt; &amp;gt; continuare a discuterne, altrimenti
            taci
            e
            &gt; &amp;gt; basta.
            &gt;
            &gt; Per quanto riguarda la protezione dei miei
            dati
            &gt; digitali, io credo di non sbagliare di tanto
            se
            &gt; affermo che il livello di sicurezza che
            adotto
            io
            &gt; e' estremamente superiore a quello di una
            &gt; banca.

            http://punto-informatico.it/b.aspx?i=3209134&amp;m
            sisi sei proprio un volpone guarda, i tuoi dati
            digitali hanno un livello di sicurezza superiore
            a quello militare
            direi...
            ciao.A quanto pare il tuo QI non e' sufficientemente elevato da distinguere una frase seria da una battuta.Fai bene a salutare ed andartene: fb ti aspetta...
          • Skywalker scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: panda rossa
            - Scritto da: Nome e cognome
            &gt; scusa ma tu in casa tua hai lo stesso
            livello
            di
            &gt; sicurezza che hanno in
            &gt; banca?
            &gt; se mi rispondi affermativamente possiamo
            &gt; continuare a discuterne, altrimenti taci e
            &gt; basta.

            Per quanto riguarda la protezione dei miei dati
            digitali, io credo di non sbagliare di tanto se
            affermo che il livello di sicurezza che adotto io
            e' estremamente superiore a quello di una
            banca.Scusa Panda, ma la tua Panda Rossa hai i vetri blindati, vero?E non lascerai mica nel cassetto, che so, copia del contratto di assicurazione della Carta di Circolazione, quando parcheggi, vero? Men che meno, che so, ti dimentichi il cellulare attaccato all'alimentatore! E non avrai mica memorizzato nel navigatore l'indirizzo di casa tuo o peggio dei tuoi amici, vero?No, perché facendo "bruteforce" con una scarpa sul vetro della Panda, qualunque ragazzino che passa di li potrebbe entrare.Scusami, ma stavolta hai preso una cantonata.Una password come "873472", se non è il tuo numero di Matricola, è una password adeguatamente sicura per proteggere il tuo codice fiscale, il numero di telefono del cellulare, l'indirizzo di casa e l'elenco dei voti degli esami.E su un account pubblico non puoi bloccare l'account dopo 10 tentativi errati, perché il danno rischia di essere maggiore. Perché se no ti faccio lo scherzone all'indomani dell'iscrizione all'ultimo esame prima della laurea. L'esame lo fai lo stesso, ma l'ultimo giorno lo perdi per iscriverti invece che studiare.Al limiti potresti biasimare un sistema che consenta di fare più di un tentativo ogni due secondi. Se vuoi fare di meglio, aumenti geometricamente il ritardo tra un tentativo ed il successivo: 1 secondo al primo sbaglio, 2 al secondo, 4 al terzo, 8 al quarto... più di un'ora dopo il 12esimo, più di un anno dopo il 25esimo... ma anche qui non viene gratis: se ti faccio comunque lo scherzone, spera di non sbagliare password al primo tentativo, perché se no è come ti avvessi bloccato l'account!Un sistema online con una password è una MEGLIO di una porta chiusa a chiave con una normale serratura a cilindretti. Che solo perché ti occupi di sicurezza logica e non di sicurezza fisica, chiami "serratura". Noi in laboratorio le apriamo tutte in meno di un decimo di secondo. Una a combinazione è più sicura. Ma probabilmente quando vai in palestra chiudi il tuo portafogli in un armadietto con un lucchetto con serratura a cilindretti.Oltre al fatto che ho i miei dubbi che li abbiano recuperati facendo bruteforce sulle utenze online. Nella mia esperienza si è sempre fatto prima passando dalla finestra che dalla porta. Certo che se, una volta passato dalla finestra, hai in mano gli hash delle password, potendo fare MIGLIAIA DI MILIARDI DI TENTATIVI al secondo, password sotto gli 8-9 caratteri le metti in chiaro in un tempo ragionevole. Ma il problema è la finestra, non la tua password. Perché gli altri dati li hai già in mano, anche senza la password.
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome
            scusa ma tu in casa tua hai lo stesso livello di
            sicurezza che hanno in banca?
            se mi rispondi affermativamente possiamo
            continuare a discuterne, altrimenti taci e
            basta.Ma tu tieni i soldi sotto al materasso ??? E' ovvio che una banca e' progettata e mantenuta da professionisti della sicurezza mentre la mia casa e' quella di un comune cittadino. Ora spiegami perche' dovrebbe essere diverso per un ufficio che tiene i tuoi dati !Aspettiamo che questi si insinuino nelle poste e mandino una mail certificata da te stesso per dirti che i tuoi dati non sono al sicuro ? O che ti mescolino le cartelle mediche ?
          • Nome e cognome scrive:
            Re: Invece di CHI? chiedetevi PERCHE?

            Ma tu tieni i soldi sotto al materasso ??? E'
            ovvio che una banca e' progettata e mantenuta da
            professionisti della sicurezza mentre la mia casa
            e' quella di un comune cittadino. Ora spiegami
            perche' dovrebbe essere diverso per un ufficio
            che tiene i tuoi dati!no, non tengo i miei soldi sotto il materasso, il problema e' che stiamo mescolando due discussioni diverse con utenti diversi e quindi si fa confusione.mi quoto per la terza volta, vediamo se a forza di ripetere si capisce il concetto che volevo esprimere...
            magari le password erano banali perche' in un
            account universitario non c'e' niente di
            interessante da rubare
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Nome e cognome

            Ma tu tieni i soldi sotto al materasso ???

            E' ovvio che una banca e' progettata e

            mantenuta da professionisti della sicurezza

            mentre la mia casa e' quella di un comune

            cittadino. Ora spiegami perche' dovrebbe

            essere diverso per un ufficio che tiene i

            tuoi dati!
            no, non tengo i miei soldi sotto il materasso, il
            problema e' che stiamo mescolando due discussioni
            diverse con utenti diversi e quindi si fa
            confusione.
            mi quoto per la terza volta, vediamo se a forza
            di ripetere si capisce il concetto che volevo
            esprimere...

            magari le password erano banali perche' in un

            account universitario non c'e' niente di

            interessante da rubareE questo non ti fa venire voglia di chiedere al tuo medico se conosce il concetto di password robusta ? Pensi che il nuovo sistema informatico medicale sia gestito meglio ?Che database vogliamo che svuotino prima di accorgerci che i sistemi informatici vanno protetti ?
          • Lemon scrive:
            Re: Invece di CHI? chiedetevi PERCHE?

            Ma tu tieni i soldi sotto al materasso ??? E'
            ovvio che una banca e' progettata e mantenuta da
            professionisti della sicurezza mentre la mia casa
            e' quella di un comune cittadino. Ora spiegami
            perche' dovrebbe essere diverso per un ufficio
            che tiene i tuoi dati
            !
            Aspettiamo che questi si insinuino nelle poste e
            mandino una mail certificata da te stesso per
            dirti che i tuoi dati non sono al sicuro ? O che
            ti mescolino le cartelle mediche
            ?Scusa se mi intrometto ma penso che la ragione stia nel mezzo: tentare di entrare in un account con nome utente e password è ILLEGALE anche se le password sono banali, è ovvio che la legge da sola non ti protegge ed ognuno adopererà i mezzi di sicurezza che ritiene più opportuni in base alle criticità che deve gestire, non facciamo sempre gli sboroni.Per quanto riguarda i paragoni sono totalmente sbagliati perchè qua parliamo di "porte chiuse a chiave" ma con serrature facili da aprire, il paragone di panda rossa della fotocellule non c'entra proprio una mazza e tantomeno quello "basta girare la maniglia", se c'è la password , per quanto banale sia, è comunque una serratura che viene forzata. Tra l'altro in banca possono anche andare a rubare i soldi ogni giorno, i miei soldi nel conto rimangono sempre quelli, non è che se gli rubano 100.000 euro li levano dai conti degli utenti, al massimo nei depositi o cassette di sicurezza c'è il rischio di perdita del bene del cliente, però immagino sia ampiamente assicurati. Anche quel paragone quindi non c'entra una mazza.Entrando nel merito della notizia, il punto è ogni volta che si parla di sicurezza informatica vengono fuori tutti i sapientoni in questi forum, tutti pronti a dire "non si fa così", "che ignoranti" ecc ecc.Io per mia esperienza personale ho visto che anche aziende insospettabili hanno buchi di sicurezza enormi, non dico che siano tutte uguali, ma ricordiamoci che è l'anello più debole della catena che poi determina il grado di sicurezza informatica di una azienda e più una struttura è complessa e più sarà facile trovare anelli deboli.Nel caso delle università ad esempio c'è tanto turn-over con studenti ai quali piace lasciarsi una porta aperta anche a studi finiti.Propongo a tutti di volare un pò più basso ed occuparsi di più della propria struttura.
          • krane scrive:
            Re: Invece di CHI? chiedetevi PERCHE?
            - Scritto da: Lemon

            Ma tu tieni i soldi sotto al materasso ???

            E' ovvio che una banca e' progettata e

            mantenuta da professionisti della sicurezza

            mentre la mia casa e' quella di un comune

            cittadino. Ora spiegami perche' dovrebbe

            essere diverso per un ufficio che tiene i

            tuoi dati !

            Aspettiamo che questi si insinuino nelle

            poste e mandino una mail certificata da te

            stesso per dirti che i tuoi dati non sono

            al sicuro ? O che ti mescolino le cartelle

            mediche ?
            Scusa se mi intrometto ma penso che la ragione
            stia nel mezzo: tentare di entrare in un account
            con nome utente e password &#232; ILLEGALE anche
            se le password sono banali, &#232; ovvio che la
            legge da sola non ti protegge ed ognuno
            adoperer&#224; i mezzi di sicurezza che ritiene
            pi&#249; opportuni in base alle criticit&#224;
            che deve gestire, non facciamo sempre gli
            sboroni.E qui sta quello che non riesco a far capire evidentemente: noi non possiamo adoperare piu' di tanto, ma dobbiamo spingere per avere delle garanzie da parte delle istituzioni e delle infrastutture: basta password nome.cognome di defaul !
            Per quanto riguarda i paragoni sono totalmente
            sbagliati perch&#232; qua parliamo di &quot;porte
            chiuse a chiave&quot; ma con serrature facili da
            aprire, il paragone di panda rossa della
            fotocellule non c'entra proprio una mazza e
            tantomeno quello &quot;basta girare la
            maniglia&quot;, se c'&#232; la password , per
            quanto banale sia, &#232; comunque una serratura
            che viene forzata.Ci sono stati periodi storici in cui una vergine nuda sopra ad un carico d'oro poteva viaggiare senza che nessuno osasse sfiorarla, ma tu ti fideresti a far andare in giro tua moglie / figlia cosi' ora ? :D
            Tra l'altro in banca possono anche andare a
            rubare i soldi ogni giorno, i miei soldi nel
            conto rimangono sempre quelli, non &#232; che se
            gli rubano 100.000 euro li levano dai conti degli
            utenti, al massimo nei depositi o cassette di
            sicurezza c'&#232; il rischio di perdita del bene
            del cliente, per&#242; immagino sia ampiamente
            assicurati. Anche quel paragone quindi non
            c'entra una mazza.
            Entrando nel merito della notizia, il punto
            &#232; ogni volta che si parla di sicurezza
            informatica vengono fuori tutti i sapientoni in
            questi forum, tutti pronti a dire &quot;non si fa
            cos&#236;&quot;, &quot;che ignoranti&quot; ecc
            ecc.
            Io per mia esperienza personale ho visto che
            anche aziende insospettabili hanno buchi di
            sicurezza enormi, non dico che siano tutte
            uguali, ma ricordiamoci che &#232; l'anello
            pi&#249; debole della catena che poi determina il
            grado di sicurezza informatica di una azienda e
            pi&#249; una struttura &#232; complessa e
            pi&#249; sar&#224; facile trovare anelli
            deboli.
            Nel caso delle universit&#224; ad esempio
            c'&#232; tanto turn-over con studenti ai quali
            piace lasciarsi una porta aperta anche a studi
            finiti.E chissa' in quanti posti sara' cosi, per quello occorre trovare sistemi e procedure che evitino almeno queste banalita'
            Propongo a tutti di volare un p&#242; pi&#249;
            basso ed occuparsi di pi&#249; della propria
            struttura.Tanto poi i tuoi dati non sono solo nella tua struttura, e' li' il problema.
          • Lemon scrive:
            Re: Invece di CHI? chiedetevi PERCHE?


            E qui sta quello che non riesco a far capire
            evidentemente: noi non possiamo adoperare piu' di
            tanto, ma dobbiamo spingere per avere delle
            garanzie da parte delle istituzioni e delle
            infrastutture: basta password nome.cognome di
            defaul
            !
            Hai sicuramente ragione, non dico il contrario.

            Ci sono stati periodi storici in cui una vergine
            nuda sopra ad un carico d'oro poteva viaggiare
            senza che nessuno osasse sfiorarla, ma tu ti
            fideresti a far andare in giro tua moglie /
            figlia cosi' ora ?
            :DCome ho già scritto, dipende dal contesto e dal bene che vuoi proteggere. Se fosse un ces..o la potrei anche mandare, se fosse una bella donna non la manderei neppure vestita con il cappotto in una strada buia, desolata, in un quartiere malfamato di notte. Tanto è vero che il periodo che citi tu conosceva, se non mi sbaglio, le cinture di castità!

            E chissa' in quanti posti sara' cosi, per quello
            occorre trovare sistemi e procedure che evitino
            almeno queste
            banalita'
            Sono d'accordo ma secondo me è fisiologico, un pò come le perdite nel sistema idrico, si può fare tanto ma non tutto. Appena tappi questa falla si spostano semplicemente i limiti un pò più in là ma i problemi rimangono. Non dico che non vada fatto, dico però che la cosa non mi stupisce nè sorprende.
            Tanto poi i tuoi dati non sono solo nella tua
            struttura, e' li' il
            problema.Volevo dire che tutti abbiamo punti deboli e prima di linciare gli altri andrei a guardare meglio quello che faccio io. Io ho gestisco e amministra molte aziende, ho sempre fatto il massimo e mi sono pure occupato per un certo periodo solo di sicurezza informatica, sono certo che anche se ti indicassi quella che secondo me è la mia implementazione più sicura tu mi trovi un buco enorme nel giro di pochi giorni se non prima. La verità è che per quanto bravi possiamo essere, deve esistere comunque una procedura di verifica esterna, un qualcuno che non conosca il tuo sistema e prova a bucarlo.Per questo non trovo corretto fare azioni di cracking in questo modo e neppure giudicare poi così gli amministratori di quelle reti, ci sono modi più rispettosi per segnalare i problemi e per risolverli, tutto qua.
Chiudi i commenti