Ottenuto il risarcimento da uno spammatore

di Massimo Cavazzini. Il Garante per la privacy interviene e tutela l'utente il cui indirizzo è stato rastrellato abusivamente in rete per fini spammatori. Ecco cosa è successo e come ci si può difendere da certo spam


Roma – Un bel giorno, scaricando la posta, ho trovato un’offerta “irripetibile”: un sito in hosting a prezzi “imbattibili”. Nessun dubbio: spam! Ricevo quotidianamente, complici i miei indirizzi mail pubblicati su diversi siti Internet e in Usenet, mail pubblicitarie non richieste da diverse società.

Non avendo mai contattato la società in questione ed avendo ricevuto la mail su un indirizzo presente solo su un vecchio sito Internet, non ho avuto dubbi: la società ha preso il mio indirizzo dal Web, inviando la mail commerciale non desiderata (UCE, unsolicited commercial e-mail) senza nessuno scrupolo.

“Se non volete riceve più informazioni rispondete scrivendo nell’oggetto dell’ Email RIMUOVI”: stiamo scherzando, mi sono detto. Io non ho mai richiesto di essere presente nel loro database, quindi non vedo perché prendermi il fastidio di rimuovere alcunché.
Probabilmente la stessa mail è arrivata ad altre centinaia di persone: molti l’avranno cestinata senza fare nulla, qualche decina di utenti avranno segnalato l’abuso al provider utilizzato dalla società per fare spam, io ho deciso di fare di più.

Mi sono documentato sullo spam, poi ho deciso di agire seguendo una nuova strada: la legge sulla privacy.

La famosa legge 675/1996 stabilisce che nessuno può usare il nostro indirizzo e-mail senza il nostro preventivo consenso. Non è l’utente che deve richiedere la cancellazione da eventuali liste, ma è la società che deve richiedere il consenso dell’utente prima di iscriverlo a qualsiasi lista di indirizzi, specie se ha intenzione di inviare pubblicità.

La tesi è stata ribadita dal Garante per la protezione dei dati personali, prof. Rodotà, che l’11 gennaio 2001 ha ribadito l’impossibilità di prelevare indirizzi e-mail da siti Internet, mailing list, forum e newsgroup. In mancanza di esplicito e preventivo consenso, è illegittimo utilizzare e-mail in quanto lo stesso non è soggetto ad alcun regime giuridico di piena conoscibilità da parte di chiunque (ovvero non fa parte dei cosiddetti elenchi pubblici).

Prima di intraprendere le vie legali, per uno scrupolo di coscienza (il trattamento illegittimo dei dati personali è infatti reato penale, oltre che amministrativo) ho deciso di scrivere alla società: un passo che i guru dell’antispam consigliano, ma che come detto ho intrapreso per dare una seconda possibilità alla società colpevole di spam.
Ho scritto, mi hanno risposto che “la mail è stata acquistata da una lista di indirizzi presa su Internet”. Rispondo, dicendo che è illegale. Ennesima replica della società: “Vedo che lei ha tempo da perdere, come le ho già detto il suo indirizzo è stato acquistato su internet da una società che rivende indirizzi e-mail presi da internet. Non risponderemo più a sue e-mail da ora in avanti”.

Alle mie e-mail no, probabilmente al Garante sì.

Preparo una prima raccomandata, in cui scrivo alla società che ho intenzione di avvalermi di quanto previsto dall’articolo 13 della legge 675/96: in relazione al trattamento di dati personali “l’interessato ha diritto di conoscere l’esistenza di trattamenti di dati che possono riguardarlo e di ottenere, a cura del titolare o del responsabile, la conferma dell’esistenza o meno di dati personali, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge”. La società che detiene i dati ha cinque giorni di tempo per rispondere.

I cinque giorni passano, la società che fa spam non risponde. Mi informo allora sul sito del Garante circa le modalità per presentare ricorso, preparo la documentazione necessaria e invio il ricorso.

La prima raccomandata che ricevo dal Garante mi informa che il ricorso è stato ricevuto, che sarà discusso entro i 30 giorni e che è già stata chiesta alla società colpevole di spam la documentazione che avevo inutilmente richiesto io. In sostanza, la prima mossa del Garante è reiterare la mia richiesta di informazioni ai sensi dell’articolo 13 a cui lo spammer non aveva risposto.

Lo spammer risponde al Garante (inviandomi la comunicazione in copia) in data 28/2/2002: “All’interno della società non esiste un responsabile del trattamento dati personali, la società opera nel settore Internet e comunque può capitare che siano inviate mail promozionali, l’indirizzo di posta elettronica è stato acquisito da una società che opera nel settore marketing”.


Il Garante, in data 6/3/2002, invia ulteriore comunicazione alla società chiedendo gli estremi identificativi della società da cui sarebbero stati acquisiti i dati”. La risposta è un confuso fax in cui è indicata la Labels Internet Services, società che probabilmente nemmeno esiste.

A questo punto, acquisiti tutti i dati necessari, il Garante delibera: ricorso accolto!

Il Garante determina nella misura forfettaria di 250 euro, l’ammontare delle spese e dei diritti del presente procedimento posti a carico della società, la quale dovrà liquidarli direttamente al sottoscritto. La società colpevole deve dunque versare 250 euro: calcolando che le mail inviate sono centinaia, è facile comprendere che la somma potenziale, se tutti facessero ricorso, è molto alta.

Al danno economico diretto si aggiunge il danno derivante dall’intervento del Garante: “I presupposti per l’applicazione di eventuali sanzioni e la liceità e correttezza del complessivo trattamento dei dati effettuato saranno verificati nell’ambito di un autonomo procedimento che sarà attivato d’ufficio dal Garante”. Come dire: per lo spammer non è ancora finita.

Sommando le sanzioni amministrative e penali che un singolo ricorso può portare, è facile comprendere che il maggior numero di persone colpite da spam dovrebbe conoscere e attivare la procedura presso il Garante. Colpire gli spammer nel portafogli è fondamentale almeno quanto segnalare l’abuso a chi fornisce spazio web e connettività.

Con la differenza che nel secondo caso lo spammer ha un fastidio più o meno grande (cambiare provider, dominio, fare listwashing, ecc), nel primo ha un danno economico diretto per un ammontare che può diventare rilevante.

Con lo scopo di diffondere il più possibile la conoscenza della procedura, sperando che un numero sempre crescente di persone combatta lo spam in maniera attiva, ho preparato una guida dettagliata a quella che io ho definito “la via alternativa per la lotta contro lo spam”. La trovate su www.maxkava.com/spam.htm .

Massimo Cavazzini

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Rai News 24 Chiude!
    In seguito alla falsa notizia della morte del Santo Pontefice, i responsabili IT del sito rainews24.it hanno deciso di chiudere il sito agli hacker, che ora versano lacrime di coccodrillo.I coccodrilli, intanto, vengono stanati dai webserver e riposti in luoghi più sicuri.La prossima settimana sarà possibile osservarne qualche esemplare dal vero, allo zoo di Peschiera del Garda: entrata gratuita per i malati terminali, che potranno adottarne uno ed apportare eventuali precisazioni entro l'orario di chiusura.Fonte: moriRAInews24
  • Anonimo scrive:
    Ho trovato come sono arrivati all'indirizzo !!!!!!
    Sulla home page, ieri.. c'era questo HTML !Ho visualizzato l'HTML della Home Page di rainews e guarda che t'ho trovato.....
    • Anonimo scrive:
      Re: Ho trovato come sono arrivati all'indirizzo !!
      Ti ricordo che il direttore RAI, ha parlato di furto di materiale, e di prelevamento dello stesso dal loro database interno dedicato ai personaggi famosi.Non ha parlato di link che connettevano a quel database, ma che gli autori si sono introdotti nel server del database stesso.Riporto l'intervista, già postata da astalavista:Roma, 20:11Hacker colpiscono sito di Rai24News: 'E' morto il Papa'Gli hacker hanno attaccato il sito di RaiNews24 e messo in rete il 'coccodrillo' (biografia di un personaggio famoso da pubblicare in caso di decesso, ndr) di Giovanni Paolo II custodito nell'archivio informatico della testata.Solo dopo le 16 alla Rai è stato segnalato che il portale Virgilio.it dava notizia di una "pagina in costruzione finita in rete" con la biografia di Karol Wojtyla e l'annuncio della sua morte.Immediata la smentita della testata, le scuse del direttore Roberto Morrione alla segreteria di Stato vaticana per la violazione di un archivio privato e il furto di materiale "riservato e mai pubblicato", nell'impegno della Rai ad adire vie legali contro ignoti per punire i pirati informatici."Non avevamo pubblicato neanche mezza parola -spiega il direttore Roberto Morrione all'Adnkronos- ed è stato chiaro da subito che qualcuno si era fraudolentemente inserito nel nostro database, dove come in tutte le redazioni giornalistiche esistono biografie di personalità pronte per essere trasmesse. Qualcuno è riuscito ad arrivare alla biografia e l'ha segnalata al portale di Rainet e al portale di Virgilio con la scritta 'questo screenshot e' stato preso dal sito"."E' totalmente falso - spiega Morrione- è stato tutto sottratto al database. La Rai si riserva azioni legali ed io ho parlato con la segreteria di Stato vaticana per spiegare l'accaduto: i miei interlocutori ed io ci siamo augurati che chi ha condotto questo atto scorrettissimo abbia allungato la vita al Papa".(Red)La pagina era in costruzione e girava su quello che è il loro web server: iis.
  • Anonimo scrive:
    Server Win/IIS
    Cos'altro aspettarsi?Dal 96 ad oggi IIS ha collezzionato oltre 60 bug, win non è il mostro di sicurezza (neanche si avvicina a quello che dice M$ in fatto di security); allora è colpa del crack o di chi utilizza simili prodotti?Altro che denunciarlo, bisognerebbe premiarlo!
    • Anonimo scrive:
      Re: Server Win/IIS
      .. IIS?Cosa centra IIS se la rai pubblica per sbaglio un doc?...uè... e se avevano il server Unix? sarebbe stato un baco di Apache?
      • Anonimo scrive:
        Re: Server Win/IIS
        Centra il fatto che il sito è su win/iis; che non è la prima volta che viene forzato ad opera di hack o crack.Famosa a livello giudiziario è stato quello di 4 (mi sembra) anni fà; culminata con la sentenza d'appello di oltre 1 anno e mezzo fà. Il giudice prosciolse l'hack in questione (italiano), perchè gli amministratori del sito, o meglio del sistema, stando al giudice non avevano implementato tutte le difese necessarie minime per un sito di quella importanza (è chiaro che ciò era in relazione alla società, la RAI non è una piccola società a conduzione familiare).Allora l'intero sistema RAI girava su server win (gli UNIX erano presenti solo come macchine server d'esercizio per i sw audio/video). Dopo di ciò, la RAI ha firewalls UNIX; per inciso l'hack in questione fece l'attacco servendosi di o.s. Linux; ed uno dei motivi della difesa giudiziaria, era stata proprio la scarsa difesa informatica che dava il sistema per una società di quel tipo.Il documento che citi, non è stato reso disponibile di buona volontà dalla RAI, ma era normalmente posto in un database dove sono costituiti molti doc. sulle personalità eccellenti da utilizzare nei casi, come la morte della stessa persona.L'hack ha utilizzato proprio la parte debole del sistema cioè win per arrivare al server del dabase (un database non grande di dati); a iniziare da win/iis. Da notare che ora in RAI, oltre al firewalls e al server di posta con la net ext., utilizzano UNIX per le macchine (anche in cluster) di produzione audio/video; il resto dei servizi come la posta interna gira su win; purtroppo i firewalls UNIX possono bloccare solo la maggioranza degli attacchi rivolti ai server win, altri passano. E bravo è stato (o sono stati) l'hack in questione a bypassare il firewals UNIX ed a attaccare i server win arrivando al server win dove vi è il database in questione.Altrettanto bravo è stato a prendere possesso del server win/iis e a pubblicare il link in oggetto.Non sò se con UNIX/Apache finiva diverso; sò che per forzare uno di quei server occorre essere molto più preparati; se ben configurato (senza bug particolari) occorre essere 1 tra i meno di 200 hack al mondo per forzarli.Poi, per i bug, informati; c'è differenza tra Apache e iis: dal 96 ad oggi iis ha collezionato oltre 60 bug, Apache 6.
        • Anonimo scrive:
          Re: Server Win/IIS (non hai detto niente)
          Ho letto questa mattina l'intervista al direttore della RAI, il quale ha confermato che i doc. erano su un database in un server a sè stante.Per quel che riguarda i servizi/server RAI, sò quello che ho scritto, le cui informazioni sono ferme ad 1 anno e mezzo fà, per l'appunto alla sentenza pronunciata contro l'hack in questione (che seppur ha evitato il penale, è stato costretto a pagare una somma a titolo di risarcimento alla RAI); e le informazioni che mi ha dato una persona di mia conoscenza sull'utilizzo dei server UNIX in sede di produzione audio/video, visto che lavora nel campo proprio alla RAI di Roma; server cmq che non riguardano la faccenda in oggetto; i restanti client e server addetti all'audio/video sono su win (pensa un pò, con il mac che è notevolmente meglio e facile).Del resto dell'organizzazione informatica RAI, sono parzialmente a conoscenza per gli avvenimenti narrati, del fatto generico che da oltre 1 anno e mezzo, a parte firewalls ed e-mail, il sistema ha prevalentemente server win; partendo cmq dal fatto che da 1 anno e mezzo a questa parte il sistema sia rimasto tale.Il fatto che giri il web server su win/iis è cmq noto a molti, anche se non ho controllato personalmente con dei tool o su netcraft.Le conoscenze quindi che ho scritto sul sistema RAI, corrispondono a quelle che effettivamente conosco, non ho riportato più del dovuto.Non ho riportato altresì se l'attacco si sia basato su un bug di iis, ma solo ricordato a chi mentiva dicendo che è più sicuro o ugualmente sicuro di Apache, che non è vero; cmq l'hack di cui ho parlato nel post precedente, non ha sfruttato nessun bug di iis, ma semplicemente buttato giù il firewalls win che vi era allora (in seguito sostituito con UNIX).
          • Anonimo scrive:
            Re: Server Win/IIS (non hai detto niente)
            ...io rimango sempre convinto che la maggior parte delle volte si tratta di personale interno, fuga di notizie, qualcuno che voleva fare il figo con gli amici...o cose del genere...poi ovviamente per non prendersi responsabilita' e' una bella scappatoia..."ci hanno attaccato!!!"secondo te uno si prende la briga di superare firewall(unix) e server solo per mettere una pagina sul papa ?? mah...
        • Anonimo scrive:
          Re: Server Win/IIS
          Hai scritto una marea di cavolate e il fatto di cui parli avvenuto qualche anno fa e' riportato male: fu assolto perche' uno dei sistemi win aveva l'hard disk condiviso, senza nessuna password, e proprio su quell'hard disk era presente un file contenente le password per l'accesso ad altre macchine della rete. (quindi nessun firewall da bypassare o altro)Stesso discorso vale per i bug di iis: certo ne avra' avuti parecchi, piu' di apache, ma vorrei farti notare la MAREA di bug presenti in php (presente su quasi tutti i server apache) e oltre a questo c'e' da tener conto che su un server web unix girano spesso altri servizi (named, ssh, ecc) tutti pieni di bug, mentre su win l'unico programma vulnerabile e' iis, visto che quasi sempre e' l'unico servizio attivo. Da questo e' evidente che in generale un server web su windows e' molto piu' sicuro di uno su unix.- Scritto da: BSD_like
          Poi, per i bug, informati; c'è differenza
          tra Apache e iis: dal 96 ad oggi iis ha
          collezionato oltre 60 bug, Apache 6.
          • Anonimo scrive:
            Re: Server Win/IIS
            Da quello che scrivi credo che tu non abbia mai visto un sistema linix o freeBSD o OpenBSD ecc... neanche da lontano!!!La differenza fondamentale da win è che se in uno dei server vi è un baco, questo appena scoperto può essere "pachato"!! E sai perchè? Perchè il codice di questi software è "open source", libero, può essere visto e modificato da chiunque (ne abbia le capacità)!!! Mentre il codice win è ben tenuto nascosto! Hai capito la differenza?
          • Anonimo scrive:
            Re: Server Win/IIS
            siete solo dei fanatici , per questo motivo , noi sistemisti /consulenti riusciamo a guadagnare di più di voi ! Microsoft, si fa pagare , ma se c'è bisogno di supporto professionale te lo da e con i guanti bianchi! Con Linux dei andare a cercare nelle fogne di internet ! Svegliatevi ! entrate nell'economia di mercato!
          • Anonimo scrive:
            Re: Server Win/IIS

            La differenza fondamentale da win è che se
            in uno dei server vi è un baco, questo
            appena scoperto può essere "pachato"!! E sai
            perchè? Perchè il codice di questi software
            è "open source", libero, può essere visto e
            modificato da chiunque (ne abbia le
            capacità)!!! Mentre il codice win è ben
            tenuto nascosto! Hai capito la differenza? L'enorme differenza è che c'è gente che usa Linux e che si comporta come i dittartori dell'america latina, distorce i fatti:http://nagoya.apache.org/bugzilla/query.cgilascia selezionato solo le cose che ti dà di default (ovvero bug con status NEW, ASSIGNED (in corso di risoluzione) e REOPENED (ma non erano stati fixati? doh!)) e filtra al solo sistema operativo Linux. A me dava 193 BUGs (1942 se selezioni tutti i vari sistemi operativi su cui gira Apache) questa mattina... Si vede che saranno usciti tutti questa notte!Il problema del free software è che è "libero" e chiunque ci può lavorare, anche gente che ha le "skills" ma a cui manca il "knowledge" per poter portare avanti software così complicato. Infatti nei progetti OS molto spesso vedi che con ogni nuova revisione una nuova pletora di bug si prospetta agli user (alcuni a volte molto grossolani, tipo linee di codice che non sono state decommentate o che sono state commentate per sbaglio).Inoltre cari i miei Supermegaamministratori in erba vi suggerisco anche di dare uno sguardo all'FTP della MS: quelle sigle che sono accanto ai bug rilevati servono per andarsi a pescare all'interno delle apposite directory nell'FTP le apposite FIX... Non si vive di sole service packs... Effettivamente ci vuole un po' + di cervello a cercare le cose con la propria testa piuttosto che affidarsi ciecamente a CVS e pensare di essere al sicuro da eventuali (nuovi?) bug! AHAHAHAHAHRicordo inoltre che basta usare un qualsiasi tool di aggiornamento online per Linux presente sulle nuove distribuzioni per vedere una specie di Film dell'orrore: fix per qualsiasi cosa, quasi sempre per problemi legati al buffer overrun... E' vero che i problemi li risolvono in fretta, ma a quanti sistemi nel mondo mancano le patch giuste? Quanti cracker possono tranquillamente navigare su questi siti e scoprire come interferire su di un determinato software? (di polli ne esistono molti e i bug sono così tanti e proliferanti che è impossibile tenere traccia di tutti).Ricordo inoltre che è da circa un'anno ormai che sia Windows2000 (poi anche XP) che Linux soffrivano di un grande problema derivato dall'implementazione errata dei driver VIA e NVIDIA quando usati in concerto. Utenti linux sbeffeggiavano gli utentio win per la cosa, perché il consorzio del kernel ha dato la notizia pubblicamente solo dopo 7 mesi dalla comparsa del bug! (la notizia è apparsa anche qui su PI). E gli utonti linux li a negare... Pupazzetti.
          • Anonimo scrive:
            Re: Server Win/IIS

            lascia selezionato solo le cose che ti dà di
            default (ovvero bug con status NEW, ASSIGNED
            (in corso di risoluzione) e REOPENED (ma non
            erano stati fixati? doh!)) e filtra al solo
            sistema operativo Linux. A me dava 193 BUGsfaccio la query con linux e me ne da giusto 193.la faccio con win nt/2k e me ne da 502.vado con freebsd: 9mi pare che nn sia necessario commento...
            (1942 se selezioni tutti i vari sistemi
            operativi su cui gira Apache) questaapache gira *anche* su win... ;o)
            mattina... Si vede che saranno usciti tutti
            questa notte!
          • Anonimo scrive:
            Re: Server Win/IIS
            Ci sono precise regole da seguire quando si sviluppa un'applicazione per Windows, regole che sono più restrittive di quelle che si hanno su Linux, quasi tutte le conversioni da Linux a Windows perdono di qualità proprio per quello Sono due filosofie di programmazione diverse. E da quanto mi date a vedere i ferventi sostenitori di Linux a priori (tanto da inventarsi storie insulse sulle affidabilità di un software rispetto ad un altro). Intendiamoci, se usate CygWin o gcc per win32, incorrete SEMPRE in una serie interminabile di complicazioni, dovute principalmente alla pletora di bug che queste versioni si portano appresso (nella sezione Win32, per Linux, rimangono l'unica valida soluzione). Tanto meglio prender un buon BCB 5.5 Command line (che tra l'altro, nella tradizione Borland produce i binari + compatti e più veloci sul mercato) e modificare i makefile per Linux per renderli compatibili (bisogna modificare due sciocchezze) e rifare una bella compilata (a differenza di GNU & Co la compilazione non richiede eoni). In qesto modo si risolvono molti bug introdotti dai compilatori che non sono trasparenti al 100% alle chiamate di basso livello delle librerie standard ANSI C e C++.Il fatto che la versione FreeBSD abbia meno bug non dipende solo dal fatto che Apache gira su FreeBSD ma dal fatto che FreeBSD+Apache sono sicuramente una buona accoppiata, e che la versione FreeBSD è sicuramente la più supportata e la più fixata. Se poi voi pensate che il fatto che il server dia segmentation fault o che si blocchi quando un utente legge una determinata pagina con determinate immagini JPG sopra sia colpa del SO... piantatela di postare brutte figure!Viceversa la versione Windows è sicuramente la più giovane e la più trascurata... Ma d'altronde se non si conosce bene Windows e si dà per scontato che "tutto il mondo è paese" non si può sperare di fare un buon lavoro.
          • Anonimo scrive:
            Re: Server Win/IIS

            Il problema del free software è che è
            "libero" e chiunque ci può lavorare, anche
            gente che ha le "skills" ma a cui manca il
            "knowledge" per poter portare avanti
            software così complicato. Infatti nei
            progetti OS molto spesso vedi che con ogni
            nuova revisione una nuova pletora di bug si
            prospetta agli user (alcuni a volte molto
            grossolani, tipo linee di codice che non
            sono state decommentate o che sono state
            commentate per sbaglio).Per questo esistono le "alfa", "beta", "release candidate" e "standard". Qualsiasi software Linux e Win, appena uscito ha in se un certo numero di nuovi bug. Con il sorgente sotto mano posso tentare di correggerlo, senza sorgente (o senza know-how) ho due possibilita':* resto con la vecchia versione ed aspetto la fix* mi tengo la versione bacata ed accendo ceri in chiesa
            Inoltre cari i miei Supermegaamministratori
            in erba vi suggerisco anche di dare uno
            sguardo all'FTP della MS: quelle sigle che
            sono accanto ai bug rilevati servono per
            andarsi a pescare all'interno delle apposite
            directory nell'FTP le apposite FIX... Non si
            vive di sole service packs... Effettivamente
            ci vuole un po' + di cervello a cercare le
            cose con la propria testa piuttosto che
            affidarsi ciecamente a CVS e pensare di
            essere al sicuro da eventuali (nuovi?) bug!E per fortuna che fanno le singole fix!!!! Pero', come ho detto sopra, devi aspettare che la MS confermi che il bug esiste e che produca la fix.Cosa che deve fare anche quello che ha la sua bella RedHat, Suse, etc. e non sa programmare.
            Ricordo inoltre che basta usare un qualsiasi
            tool di aggiornamento online per Linux
            presente sulle nuove distribuzioni per
            vedere una specie di Film dell'orrore: fix
            per qualsiasi cosa, quasi sempre per
            problemi legati al buffer overrun...E' il problema piu' comune dei programmi in C/C++. Anche Outlook fa cose spiacevoli grazie a qualche buffer overrun...
            E' vero
            che i problemi li risolvono in fretta, ma a
            quanti sistemi nel mondo mancano le patch
            giuste? Quanti cracker possono
            tranquillamente navigare su questi siti e
            scoprire come interferire su di un
            determinato software? (di polli ne esistono
            molti e i bug sono così tanti e proliferanti
            che è impossibile tenere traccia di tutti).Hai centrato il problema: di polli ne esistono molti. Per fare l'amministratore di rete ci vuole umilta' e molto, molto, molto "olio di gomito". Purtroppo con MS e con gli Unix/linux e' possibile buttere su un server Web senza sapere nulla di sicurezza, rete, password (mi ricordo un cliente che ha installato il sistema senza mettere la password all'Administrator "perche' se me la dimentico che faccio?")
          • Anonimo scrive:
            Re: Server Win/IIS

            E per fortuna che fanno le singole fix!!!!
            Pero', come ho detto sopra, devi aspettare
            che la MS confermi che il bug esiste e che
            produca la fix.
            Cosa che deve fare anche quello che ha la
            sua bella RedHat, Suse, etc. e non sa
            programmare.Penso che sia E' il problema piu' comune dei programmi in
            C/C++. Anche Outlook fa cose spiacevoli
            grazie a qualche buffer overrun...Fortunatamente su Windows la cosa non tocca il kernel di sistema, e il SO non dipende in maniera così predominante da software fatto da terzi, imperfetto e in molti casi, non più supportato. Ricordo che molti command line tools di Linux hanno anche loro bug aperti da secoli, ma funzionando abbastanza bene, sono lasciati così come sono (tutto sommato è una cosa giustificabile, tanto il software perfetto al 100% non esiste).Per il resto sono daccordo con te, ma ricordati che avere i sorgenti di apache è una cosa secondaria, è un progetto complesso e articolato e a meno che di investire tempo e denaro a "capire" come funziona il codice, si farebbe quasi in tempo a riscriverlo! Hai mai provato a subentrare su di un progetto scritto da altri? Hai notato quanto è difficile calarsi nei panni della logica di programmazione di altre persone?
          • Anonimo scrive:
            Re: Server Win/IIS
            hahaha hai proprio ragione non ho mai visto un sistema linux o freebsd... oddio :))Invece proprio perche' ci lavoro so bene quali sono i loro pro e i contro. E anche il fatto che siano open source non credere dia solo vantaggi, anzi: spesso a un occhio esperto basta dare una controllata al codice di un programma per trovare possibili overflow e creare di conseguenza degli exploit, cosa che non succede su windows.
          • Anonimo scrive:
            Re: Server Win/IIS

            sistemi win aveva l'hard disk condiviso,
            senza nessuna password, e proprio su
            quell'hard disk era presente un file
            contenente le password per l'accesso ad
            altre macchine della rete. (quindi nessun
            firewall da bypassare o altro)perchè chiaramente la macchina win con l'hd condiviso NON era dietro a un firewall...già, alla rai le macchine sono tutte lì, in batteria, col culo aperto verso la rete e l'hd condiviso... ;o)
            Stesso discorso vale per i bug di iis: certo
            ne avra' avuti parecchi, piu' di apache, ma
            vorrei farti notare la MAREA di bug presenti
            in php (presente su quasi tutti i serverguarda che non è automatico che un serve apache abbia php installato... ;o)
            apache) e oltre a questo c'e' da tener conto
            che su un server web unix girano spesso
            altri servizi (named, ssh, ecc) tutti pieniguarda un po' te, sul mio server named non c'è ;o)guarda che se un servizio non ti serve, lo togli.se il server fa il server web named nn gli è indispensabile.
            di bug, mentre su win l'unico programma
            vulnerabile e' iis, visto che quasi sempre
            e' l'unico servizio attivo.rotfl
            Da questo e'
            evidente che in generale un server web su
            windows e' molto piu' sicuro di uno su unix.beh, dopo qsta frase mi rendo conto che ho sprecato uil mio tempoa risponderti...
          • Anonimo scrive:
            Re: Server Win/IIS
            Beh se non mi credi basta fare un test: ti propongo di controllare su 100 web server linux quanti di questi hanno altri servizi attivi come ftpd, sshd, identd, ecc ecc. di sicuro un buon 90%, poi prendi 100 web server su windows e guarda quanti hanno altri servizi attivi, quanto ci scommetti che sono molti, ma molti di meno?fatti, non pugnette!:-D
          • Anonimo scrive:
            Re: Server Win/IIS
            Tu credo che non conosci il gergo di "buttare giù un server".Cmq procediamo per ordine; il fatto a cui mi riferisco non è avvenuto un anno fà, ma circa 3-4 anni dalla sentenza, avuta oltre un anno fà (se ti riferisci alla stessa cosa, hai detto la prima cavolata).Il fatto in questione l'ho letto su un articolo generale e breve, questo comporta che vi fosse poca distinsione tra il sistema RAI nel momento dell'attacco, e nel momento della stesura dell'aricolo (sentenza).1) Una sentenza non può essere particolare, ma generale nei termini in cui inquadra o assolve il reato, cioè i suoi riferimenti applicati alla persona devono ovviamente essere generali e valere per tutti. Quindi il fatto che la stessa si riferisse a sistemi non adeguati al sito, è un concetto generale, da cui scaturisce o meno la condanna; riguarda l'o.s., l'hw, le capacità tecniche di chi gestisce il sito (2° cavolata che hai scritto).2) Buttare giù un server, anche firewalls è un termine generico, significa molte cose. Nell'art. citato era riportato che il firewalls era stato bypassato, il chè significa che l'attaccante non ha preso possesso del firewalls, ma l'ha aggirato. Come ciò sia avvenuto non era stato riportato, ma in gergo non tecnico si è propensi a dire che il firewalls è stato buttato giù spesso. Ad esempio, alcuni mesi fà è stato forzato da 2 hack Slhadot (BSD); in quel caso però l'hack sfruttarono 2 server connessi direttamente alla rete, che erano di prova; quindi non si può dire che hanno buttato giù il firewalls; poichè sulla rete dei 2 server attaccati non vi era firewalls. Daltronde buttare giù un firewalls può avvenire sia per errori umani, sia per bug sullo stesso. Ora se permetti considero più valido ciò che è scritto sull'art. che ciò che dici (Nessuna cavolata, ma non dimistichezza col gergo).3) Parliamo di Apache, meno male che riconosci che iis è più bug-ato; cmq la tua analisi sul Php fà acqua. Primo, non ho nessun obbligo di mettere Apache + Php, secondo è tecnicamente migliore della porcheria Asp, terzo Apache + Php è una struttura cmq + solida di iis + Asp, e lo dimostra il numero di siti Apache e gli attacchi ben superiori subiti dai server iis + Asp, quarto i bugs di Php a cui accenni, sono quelli della vecchia relase; la nuova oltre a essere più solida, è avanti tecnicamente anche alle Asp. purtroppo la new relase del Php (non sono un programatore php, quindi non mi addentro tanto), ha lo svantaggio di usare una nuova tecnologia, che non si coniuga con le vecchie relase, quindi non è possibile il porting del codice php dal vecchi al nuovo, quindi il codice va in max. riscritto. E' per questo che la maggioranza dei siti col Php è ancora sulla vecchia rel., e difetta dei suoi maggiori bug; problema che le Asp non hanno al passaggio di rel. Tanto qualsiasi porcheria vende Bill l'acquistate, senza pensare se è tecnicamente valida, basta che sia semplice e veloce, che vi evti la riscrittura del codice (innumerevoli cavolate, hai scritto).4)Come detto la RAi oggi (intendo un anno fà, quando lessi l'art.) adotta un sistema misto UNIX/win; il quale non è detto che sia stato adottato solo in seguito all'attacco, ma forse era già in programma, l'attacco ha solo velocizzato la cosa; ad esempio ritengo che era cosi per il server e-mail ext., servizio non eccelso per M$ (questo è corretto, dirlo).5)Come detto nel post sopra, preferisco credere (nella mancanza di dati) al responsabile RAI intervistato, che a fanatici win; sicuramente non sarà un tecnico, ma meglio di chi non c'entra proprio per nulla nel sistema informatico RAI.Rifletti, prima di scrivere.
          • Anonimo scrive:
            Re: Server Win/IIS
            - Scritto da: BSD_like
            ...il gergo di "buttare giù un server".
            ...un anno fà...
            ...circa 3-4 anni dalla sentenza, avuta oltre
            un anno fà...
            ...distinsione tra il sistema RAI nel momento
            dell'attacco, e nel momento della stesura
            dell'aricolo.

            ...il firewalls era stato bypassato...
            ...il chè...
            ...del firewalls...
            ...in gergo non tecnico si è propensi a dire
            che il firewalls è stato buttato giù spesso.
            ...mesi fà...
            ...in quel caso però l'hack sfruttarono...
            ...il firewalls...
            ...un firewalls...
            ...dimistichezza col gergo
            ...fà acqua.
            ...un anno fà...

            Rifletti, prima di scrivere.E imparare l'italiano..e magari anche l'inglese, no?
    • Anonimo scrive:
      Re: Server Win/IIS
      - Scritto da: BSD_like
      ...collezzionato...
      ...win non è il mostro di sicurezza...(e poi??)Facciamoci del male
  • Anonimo scrive:
    Attacco?
    ma quale attacco....il documento è o non è della RAI?Chi l'ha messo? Un giornalista RAI (in fase preemptive) o un cracker?
Chiudi i commenti