Un laptop Microsoft da 1 Kg

serietà
una bella vicenda che meritava di essere raccontata, farei i complimenti ai protagonisti, ma questa frase proprio non mi va giù:... Il problema era legato ad un ottimismo eccessivo tenuto in fase di progettazione: "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer"...quando si dice "responsabile" della sicurezza.

Re: serietà
- Scritto da: spluf> una bella vicenda che meritava di essere> raccontataSecondo me, no.Non è una notizia, è solo una vicenda che può capitare a chiunque e non ci vedo assolutamente nulla di strano o di rilevante tanto da meritare un articolo su PI.

Re: serietà
guarda.. per me invece merita,quel laboratorio è gestito malissimo, pieno di regole assurde e... di falle...- Scritto da: Zoolander> - Scritto da: spluf> > una bella vicenda che meritava di essere> > raccontata> > Secondo me, no.> Non è una notizia, è solo una vicenda che può> capitare a chiunque e non ci vedo assolutamente> nulla di strano o di rilevante tanto da meritare> un articolo su> PI.

Re: serietà
- Scritto da: Paolo Pieri> guarda.. per me invece merita,> quel laboratorio è gestito malissimo, pieno di> regole assurde e... di> falle...La volonta' di far le cose bene c'e', la carenza di personale pero' si mette di traverso.Se noti falle, perche' non segnalarlo?Perche' non provare a vedere se si riescono a migliorare le cose anziche' criticarle soltanto?

Re: serietà
L'obiezione sarebbe corretta se non fosse che e' l'articolo ad essere impreciso. La descrizione nell'articolo e' fuorviante.

aniello coppeto.
aniello coppeto...

Re: aniello coppeto.
anche tu ti chiedi quanto lo odiavano i suoi? XD

W gli hacker del futuro
Se questi sono i livelli allora posso smettere di preoccuparmi, basterà stare attenti ai link delle pagine! Senza offesa per nessuno, ma scoprire un link e definirsi hacker mi sembra eccessivo, come se mi accorgersi che la macchina del mio vicino è aperta, lo avviso e poi mi spaccio per ladro etico!

Re: W gli hacker del futuro
- Scritto da: Lemon> Se questi sono i livelli allora posso smettere di> preoccuparmi, basterà stare attenti ai link delle> pagine!> Senza offesa per nessuno, ma scoprire un link e> definirsi hacker mi sembra eccessivo, come se mi> accorgersi che la macchina del mio vicino è> aperta, lo avviso e poi mi spaccio per ladro> etico!Come non quotare!!!

Re: W gli hacker del futuro
Non so nell ospecifico, ma l'articolo dice chiaramente che il link ha incuriosito Nello che trovatosi in un pannello di controllo ha usato del codice per testare la falla. L'analogia dell' auto non ci azzaccherebbe comunque!

Re: W gli hacker del futuro
si però che vuol dire usare del codice per testare la falla? sarebbe bello poter sapere cosa ha usato..-----------------------------------------------------------Modificato dall' autore il 17 aprile 2008 10.25-----------------------------------------------------------

Re: W gli hacker del futuro
- Scritto da: Francesco Freezone> Non so nell ospecifico, ma l'articolo dice> chiaramente che il link ha incuriosito Nello che> trovatosi in un pannello di controllo ha usato> del codice per testare la falla. L'analogia dell'> auto non ci azzaccherebbe> comunque!Avrà avuto accesso all'interfaccia del database e ha scritto un paio di select.

Re: W gli hacker del futuro
Cinghia ma sei te? eh si che il corso con Ferretti l'abbiamo pure fatto!Ma bella Alien!!! :)

Re: W gli hacker del futuro
Ahahahah ma dai!!! che cosa ci fai su questo sito spv?Già grande alien!!!!!!!!!

Si era dato per scontato che cosa???
Leggo con angoscia che quel responsabile afferma che si era dato per scontato che gli utenti utilizzassero IE!!!Ma stiamo parlando della facolta' di informatica dell'universita' di Milano o dell'utontificio del CEPU?

Re: Si era dato per scontato che cosa???
si in effetti sembra che il buon Claudio abbia detto una cavolata. In realtà io ero un suo studente e devo dire che mi è sembrato in gamba. Poi vabbè ogni cosa può essere...anche che quello che ha detto non sia stato compreso del tutto e quindi sia stato riportato in questo articolo con qualche errore...

Re: Si era dato per scontato che cosa???
- Scritto da: Spv> si in effetti sembra che il buon Claudio abbia> detto una cavolata. In realtà io ero un suo> studente e devo dire che mi è sembrato in gamba.> Poi vabbè ogni cosa può essere...anche che quello> che ha detto non sia stato compreso del tutto e> quindi sia stato riportato in questo articolo con> qualche> errore...Quoto...e poi non posso dare contro a l'unico professore che mi ha dato 30 e lode :-)-----------------------------------------------------------Modificato dall' autore il 17 aprile 2008 10.21-----------------------------------------------------------

Re: Si era dato per scontato che cosa???
quando ho fatto l'università io, nei laboratori c'era debian. e tutto TRANNE internet explorer :D

Re: Si era dato per scontato che cosa???
- Scritto da: Anonimo> Leggo con angoscia che quel responsabile afferma> che si era dato per scontato che gli utenti> utilizzassero> IE!!!> > Ma stiamo parlando della facolta' di informatica> dell'universita' di Milano o dell'utontificio del> CEPU?Volevo solo precisare che il responsabile intervistato non è un utonto o un Windows addicted, anzi! Dei corsi che ho seguito è l'unico docente (che io sappia) che utilizza Linux come SO. Anche perchè, come potrebbe spiegare così bene argomenti come LSM, SELinux, IPTables altrimenti? ;)Saluti

Re: Si era dato per scontato che cosa???
lo usa pure le van (sistemi operativi), anche se una versione antica, qualcosa come una suse 7 o simili se non ricordo male

Re: Si era dato per scontato che cosa???
- Scritto da: anonimo> lo usa pure le van (sistemi operativi), anche se> una versione antica, qualcosa come una suse 7 o> simili se non ricordo> maleNon ho fatto nessun corso di LeVan purtroppo!Ma vedo difficile riuscire a convertire i docenti a software open, quando addirittura l'università propone la Microsoft Alliance :(Ciao!

Re: Si era dato per scontato che cosa???
Fino a 4 anni fa usava una versione preistorica di Mandrake ;)

Re: Si era dato per scontato che cosa???
Qui non c'entra ne' la facolta' ne' il dipartimento ne' il corso di laurea.C'entra il personale che e' assunto con bando pubblico e quindi puo' essersi formato altrove o puo' anche non essere formato.Lo studente e' del corso di laurea in Informatica.

Re: Si era dato per scontato che cosa???
L'articolo parla di Internet Explorer, ma non c'entra; era un problema di permessi, qualsiasi browser usato si comportava similmente.L'unica differenza e' che Internet Explorer di base e' kerberizzato quindi passa le credenziali dell'utente loggato ad IIS qualora IIS abbia pagine publicate con autenticazione integrata; alcuni altri browser non usano i ticket kerberos rilasciati dal DC al momento del logon, ma chiedono all'utente di autenticarsi presso il sito di destinazione. [WARNING: scritto di fretta quindi impreciso, se volete una descrizione precisa trovate materiale in abbondanza in rete]

Ottimismo ?!?!?!?
Cito: "Il problema era legato ad un ottimismo eccessivo tenuto in fase di progettazione: "Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".Ma siamo impazziti? Questo doveva essere l'oggetto dell'articolo. L'incompetenza abissale di chi e' responsabile di questi sistemi e la delittuosa gestione di chi li fa realizzare da sviluppatori sottopagati o ragazzini nullopagati.Anche negli Stati Uniti si pone il problema etico del "circo" della sicurezza informatica, dove tutti, dai dirigenti delle aziende ai consulenti di sicurezza, si cantano "tutto va ben, madama la marchesa" per non mettere a rischio i loro stipendi e sorvolano su grosse falle di sicurezza.Ma qui si e' perso anche il senso del pudore. Annunziata, ma non te ne eri accorto?

Le mie tasse.
Il punto di questo articolo é che le mie tasse sono andate a finanziare una istituzione scolastica che ha creato un sistema di sicurezza 1) scritto da incompetenti e 2) progettato da incompetenti."Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer".Anche un bambino sa che Internet Explorer é un ottimo vettore per iniettare malware sulle macchine, altro che controllo rigoroso del software installato. E secondo: se avessero voluto mettere una aula Unix cosa facevano? Installavano Sco Unixware? (ghost)(linux)(troll4)

Re: Le mie tasse.
C'era un laboratorio solo con linux.... è stato tolto...ora per corsi come sistemi operativi, dove serve linux, si va di connessione remota ad un server esterno (quando non cade...)

Re: Le mie tasse.
come sono contento di aver scelto il Politecnico ed Ingegneria Informatica...

Re: Le mie tasse.
Ci sono due laboratori linux in U2. Basta andare li'...

bravo necosi!
ma il bug dove stava, praticamente ? e l'attacco, com'e' stato, praticamente ?

Re: bravo necosi!
- Scritto da: Estote Parati> ma il bug dove stava, praticamente ? e l'attacco,> com'e' stato, praticamente> ?e il solito ragazzino che usa un altro browser e vuole passare per esperto del cumputere.Ma andassero a casa

Bravo !
Questo ragazzo è davvero una persona seria. Complimenti !-----Affrettati: http://www.solo365giorni.com !

hacker uno che trova pagine x sbaglio
Ah che articolo interessante!se questo e' un hacker io sono papa matzingheruno trova una pagina per caso e gli si fa un articolo.Ho trovato una pagina di accesso di amministrazione su un sitomi pubblicate pure a meFirmanto Rubertino Cappiello

Re: hacker uno che trova pagine x sbaglio
- Scritto da: il VOLGO> Ah che articolo interessante!> se questo e' un hacker io sono papa matzingherIo Dio, pensa un pò! E' ben frequentato PI :D

Re: hacker uno che trova pagine x sbaglio
AHAHAHAHAHAHAGià un vero black hat!!!convertito all'ethical hackingSmile Loreii

Re: hacker uno che trova pagine x sbaglio
Beh considera il contesto universitario :)Quando trovi una falla all'università sei sempre li tra il "braso tutto" e il "gli lascio un messaggino sul come sistemare"... e' una bivalenza dell'uomo.. il fatto che certa gente non abbia la mentalià giusta per il lavoro che fa è all'ordine del giorno. Sai volte che avrei dovuto comparire in una rivista online per buchi e buchetti che ho chiesto di sanare e che me mi sono tenuto per me? :)L'importatne è non combinare casini... come invece accade a certi "esperti" incazzati che fanno danno invece di avere glorie :) La strada di questo studente è di esempio anche nel contesto aziendale.. ma li la situazione non è rose e fiori... devi convincere tutti delle tue buone intenzioni e vi assicuro è la cosa più difficile, inoltre devi avere la soluzione in tasca perchè sennò sei solo uno smanettone curioso non un professionista della sicurezza.

a parte il fatto che...
"Si era dato per scontato che l'accesso degli studenti avvenisse dalla rete di ateneo, dove vige un controllo rigoroso del software installato, e che si accedesse solo con browser Internet Explorer"....vige un controllo rigoroso del software installato, solo con IE, a dir la verità io navigo tranquillamente pure con firefox e non ci si mette niente ad installarlo sui computer in facoltà (sono pure io in bicocca)

Re: a parte il fatto che...
In teoria, teoria e pratica dovrebbero essere la stessa cosa.In pratica, non lo sono.

perche' l'articolo e' geniale...
ci sono tutti i grandi temi:- c'e' l'hacker etico (che poi l'abbia fatto per farsi bello e vedersi su PI...)- c'e' l'hacker che non e' un hacker (a meno di un minimo di sql injection, se poi di questo stiamo parlando)- c'e' un'incompetenza (progettuale?) implementativa senz'altro, da additare- c'e' una competenza da mettere in discussione (sempre allettante ma e' come se all'investigatore che espone come sia stato commesso un delitto se ne imputasse la responsabilita')- c'e' il vecchio flame M$, IE, etc vs SW libero- c'e' la discussione su come vengono spesi i denari pubbliciQuello che bisognerebbe capire e' perche' sia stata commessa una leggerezza simile e cosa all'atto pratico e' stato reso visibile: parliamo di carriere degli studenti o di nome e cognome degli iscritti ad un esame (e' ovvio che le caratteristiche di riservatezza cambiano di molto...)

Pubblicità alla facoltà di Informatica?
Ma ha trovato sta falla per caso al 100%....C'è gente in sto laboratorio che non sa manco accenderlo il computer (poi certi assistenti hanno delle facce da drogati)!Caro Ferretti (io sono stato un suo studente), se solo tu e le altre mummie della facoltà di informatica della Biccoca foste più aggiornati, gli studenti la sicurezza la studierebbero in pratica, non solo sui bei manualozzi da 400 pagine che servono in parte....E' solo pubblicità alla facoltà (che è in crisi).Non si iscrive più nessuno poiché l'unica pratica è accedere il pc....

Re: Pubblicità alla facoltà di Informatica?
- Scritto da: djegon> E' solo pubblicità alla facoltà (che è in crisi).> Non si iscrive più nessuno poiché l'unica pratica> è accedere il> pc....Concordo in pieno con te...io mi sono laureato in bicocca 4 mesi fa e devo dire che ho imparato molto di + in 3 mesi di stage esterno piuttosto che in 3 anni di corsi di laurea!!!

Re: Pubblicità alla facoltà di Informatica?
Potresti fare qualche esempio? (sono solo curioso, nessuna critica, sono dentro al "sistema" pure io :) )

Re: Pubblicità alla facoltà di Informatica?
- Scritto da: anonimo> Potresti fare qualche esempio? (sono solo> curioso, nessuna critica, sono dentro al> "sistema" pure io :)> )Che esempio deve farti? Non lo capiresti.

Re: Pubblicità alla facoltà di Informatica?
- Scritto da: djegon> Caro Ferretti (io sono stato un suo studente), se> solo tu e le altre mummie della facoltà di> informatica della Biccoca foste più aggiornati,> gli studenti la sicurezza la studierebbero in> pratica, non solo sui bei manualozzi da 400> pagine che servono in> parte....Non so che libri usino, ma ti posso assicurare che quando si tratta di "mentalita' formativa" per quanto riguarda la sicurezza, certi libri servono eccome. E' vero che le capacita' tecniche si assumono soprattutto con l'esperienza pratica, ma certi libri (mi viene in mente su tutti il bellissimo - anche se ormai datato - "Practical UNIX & Internet Security") danno una "visione" che ci non li ha letti non ha assolutamente. E la differenza si nota eccome.

che tristezza...
fare un articolo su questa cosa.....anche io sono iscritto al corso di informatica alla bicocca....fuori corso e lavoratore presso una software house, inutile dire che in 9 mesi qui ho imparato 1.000.000.000 di cose in più che in 3 anni di facoltà...buon proseguimento di giornata,sayonara!

Re: che tristezza...
Credo che questo sia il problema dell'università italiana in generale e non solo della Bicocca (ex studente pure io)

La falla...
Ragazzi, ragazzi...voi non vi immaginate che cosa c'è là fuori...io lavoro come consulente per un'importante banca italiana (diciamo la più importante così capite) e gestisco un software di gestione della sicurezza interna. All'interno si teme sempre di meno. Si è in buona fede. Ci sono certe falle e imprecisioni di programmatori ignoranti e inesperti che stiamo cercando di riparare...se solo vedeste come sono combinati i database...Signori non siamo tutti Mitnick...le falle ci sono prima di tutto perchè siamo uomini prima che programmatori, poi perchè non si vuole investire adeguatamente. Le aziende vogliono un buon risultato a basso costo. Invece raccolgono ciò che seminano. Merda. Mi chiedi di sistemarti una falla grande come la sorgente del Nilo in 30 gg/u? Io faccio quello che posso, poi ti attacchi. E questo succede in "una" delle prime banche d'italia e voi vi stupite? Figuratevi un'università! Quello che non mi va giù, da ex vostro collega bicocchiano, e qui sarò duro come uno str***o che non vuole uscire dal buco del c**o, è che molti di voi danno dell'"idiota" a un docente solo perchè, di fronte a un errore umano ha descritto con altrettanta "umanità" quello che è accaduto. E che avrebbe dovuto dire? Trovo non abbia nulla di cui vergognarsi.Gli errori più stupidi come questi sono alla base delle falle più catastrofiche. Le disattenzioni banali. Magari perchè il programmatore che stava sviluppando il codice è un idiota, magari perchè inesperto, magari perchè, anche se sa fare il suo lavoro, sta passando un periodaccio. Provateci voi se ce la fate ad essere perfetti. Gli esperti esistono perchè possano insegnare agli incompetenti come molti di voi come essere curiosi nella materia che vi insegnano. La loro esperienza è una base da cui iniziare. Ma il futuro siete voi non loro. Se vi aspettate che Ferretti vi insegni tutto e bene state freschi...sbaglierete anche voi cervellotici che credete di sapere tutto linux ma non sapete una bega di unix (a buon intenditor...), che ve la tirate tanto con il C, perchè è l'unico linguaggio che vi fa sentire fighi anche se non sapete manco cos'è un puntatore a funzione. Voi, così abituati soltanto a criticare, voi non costruirete nulla, perchè la critica fine a se stessa non ha nulla di costruttivo. Il ragazzo non è un hacker e dovrebbe cominciare a leggere seriamente qualcosa a riguardo prima di definirsi tale. E solo tanto curioso e volenteroso. Senz'altro un buon inizio. Un piccolo hacker "all'italiana" (chi ha letto "Spaghetti Hacker" capisce la definizione).

Re: La falla...
La prima risposta veramente intelligente. Io personalmente sono in una facoltà differente e li siamo pure messi peggio che da voi, ma so benissimo che da la dentro l'unica cosa che ci guadagnerò sarà un pezzo di carta (laurea, per chi non capisse). Tutto ciò che vi serve si impara solo con le proprie forze, ed è ciò che sto facendo da sempre. Prima di iniziare l'università ho passato due anni a sviluppare un software gestionale per magazzini (una cazzata rispetto alla gestione di una banca), ma anche li è stata dura dover creare tuto da zero senza le minime basi. Poi sono finito in questo circolo vizioso chiamato università e sinceramente mi sto ancora chiedendo in che mondo vivono questi. Ma vabbe, poco importa cosa fate o non fate in facoltà, ciò che importa è riuscire a trovre un lavoro e farlo bene per vivere, e io per fortuna ci riesco. Per quanto riguarda il fantomatico hacker, sinceramente non è colpa sua se si è definito tale, è colpa dei preconcetti che esistono nella società (ricordo che una volta dei clienti mi hanno definito hacker solo perchè gli ho recuperato le password salvate in Firefox...)Divertitevi.

Re: La falla...
Ah se per questo anch'io sono un hacker perchè so dell'esistenza dei proxies.("Dobbiamo usare Internet, ma non tutta, solo un pezzetto") :|

Dove la mia risposta?
Punto informatico censura la verita!Vergogna, quanto ti ha pagato la facoltà per pubblicare sta porcata?Censuratemi pure ora!

per tutti gli invidiosi
il problema non è che quest'uomo è entrato per puro caso in questo buco... o magari che ha avuto fortuna... il premio va dato per la serietà, lui non ha sfruttato la situazione per scopi personali... lui è stato umile e serio e magari con questo ha fatto da esempio facendo capire alla maggior parte della gente che un hacker non è un ficcanaso, ma solo una persona che esplora e ha tanta voglia di capire, neanche di imparare...è stato un piacere, ciao a tutti sopratutto agli invidiosi