Università dell'Ohio? Paradiso dei cracker

Episodio senza precedenti: per più di un anno una backdoor sui server accademici ha consentito l'accesso ad anonimi cracker di tutto il mondo. Compromessi i dati personali di 137mila persone

Athens (USA) – I responsabili informatici dei server dell’ Università dell’Ohio hanno scoperto di aver subito una gigantesca violazione di dati personali da parte di anonimi cracker. Il problema, emerso nei giorni scorsi, sembra risalire a circa un anno fa: dai primi rapporti consegnati alla stampa specialistica, pare che gli amministratori non avessero eseguito i giusti aggiornamenti di sistema per “tappare” una falla di sicurezza.

Gli inquirenti dell’ FBI hanno infatti scoperto che i server universitari erano diventati il “parco dei divertimenti” per centinaia di cracker sparsi in tutto il mondo, infettati da backdoor e continuamente visitati da utenti non autorizzati: in un’intervista rilasciata a News.com , il sistemista dell’Università dell’Ohio Bill Sams ha dichiarato che i cracker avrebbero sottratto un’enorme quantità di dati sensibili, quantificabile in 137mila fascicoli personali di studenti ed impiegati.

Tutti i 90 server del network universitario sono risultati compromessi. Alcuni analisti del gruppo Gartner , stupiti, parlano di “caso eccezionale ed incredibile, che lascia completamente allibiti”. Secondo i più recenti studi di settore, i server delle università americane sono i sistemi informatici più vulnerabili degli USA. Molti cracker interessati ai network universitari, come emerso in passato , appartengono a paesi in via di sviluppo.

“Il 30% dei cosiddetti furti d’identità “, sostengono gli esperti di Gartner, “ha origine dalla violazione dei database universitari”. Negli ultimi tempi, i sistemisti degli atenei statunitensi hanno iniziato a far sentire la propria voce e reclamano maggiori finanziamenti per contrastare questo inquietante fenomeno.

“Quanto è accaduto è il risultato di un fallimento istituzionale e procedurale”, dice Sams. “Il problema è che non abbiamo soldi a sufficienza per blindarci contro i cracker: servono linee guida e finanziamenti per sapere esattamente come reagire, in quanto non siamo aziende private in grado di reagire con prontezza ai rischi informatici”, conclude.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Ma che senso ha?
    Con tutto il bene che si puo' volere al Regno Unito, ma non sono mica il centro dell'universo informatico. Che senso avrebbe quindi una legge del genere quando tutto il resto del mondo la ignorerebbe e quando gli stessi inglesi potranno attingere alle informazioni da svariate altre fonti?
  • Anonimo scrive:
    perche' e' bene pubblicare
    Un motivo su tutti: la responsabilta'giuridica.Attraverso una tecnologia e' possibile commettere dei reati per i quali si viene perseguiti penalmente e civilmente. Se un sistema che utilizziamo puo' venire usato a nostra insaputa per commettere un reato, a causa di un malfunzionamento, e' evidente che l'unica difesa che abbiamo e' quella che il malfunzionamento in questione sia pubblicamente conosciuto.un esempio:Alcuni cellulari che implementano il bluetooth sono risultati vulnerabili al call forwarding. Attraverso il bluetooth e' possibile cioe' effettuare da remoto una telefonata con il cellulare di un'altra persona. Se la conoscenza di questa vulnerabilita' rimane confinata nelle stanze dei bottoni dell'industria o peggio di pochi malintenzionati, le chences di chi sia rimasto vittima di un tale evento di dimostrare la propria estraneita' diventano pressoche' nulle. Pensate adesso voi a quanti errori giudiziari possono venir commessi per mancanza di conoscenza specifica.hola
  • Ubu re scrive:
    A me questa legge piace
    Un conto avvertire che il tal soft è vulnerabile e comunicarlo allo sviluppatore.Un altro è spiegare a tutti come localizzare la vulnerabilità, come sfruttarla e creare dei soft d'esempio facilmente 'personalizzabili'.Dal momento che il secondo caso è quello ricorrente è bene che si prendano dei rimedi.
    • Anonimo scrive:
      Re: A me questa legge piace

      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.E se l'autore se ne sbatte? Che fai ti tieni il problema incroci le dita e speri che qualcun'altro non lo scopra?
      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.Mi sembra che l'attuale sistema di divulgazione ritardata funzioni benissimo!
    • Anonimo scrive:
      Re: A me questa legge piace

      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.Io non lo comunicherei nemmeno a lui in caso entrasse in vigore una legge simile.Metti caso che dopo aver avvisato lo sviluppatore un hacker di parigi mette on-line un exploit per lo stesso bug e lo sviluppatore poi si vendica su di me ? (non importa che pensi io sia la stessa persona o meno l'importante e' avere qualcuno su cui rifarsi)
    • Anonimo scrive:
      Re: A me questa legge piace
      - Scritto da: Ubu re
      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.

      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.

      Dal momento che il secondo caso è quello
      ricorrente è bene che si prendano dei
      rimedi.Ma non capisci?Se le vulnerabilità vengono rese pubbliche, vengono subito corrette dagli sviluppatori, tenendo conto anche del fatto che ormai qualsiasi serio bug hunter comunica la falla prima agli sviluppatori e solo dopo che è stata corretta (o dopo un certo lasso di tempo in assenza di risposta) la rende pubblica. Il sistema funziona bene, se poi ci sono produttori reticenti a fixare le falle è un altro discorso.Inoltre, se sei un amministratore di sistema è molto meglio sapere quali sono le falle del tuo sistema, anche se non sono state corrette, per poter prendere i provvedimenti.Se invece fosse vietato divulgare i bug, ognuno potrebbe avere numerose falle aperte senza saperlo. I bug verrebbero scoperti comunque (stanne certo), e potrebbero essere più agevolmente sfruttati dai malintenzionati perché, non essendo stati divulgati, nessuno potrebbe prendere i provvedimenti.Questa legge, in realtà, diminuirebbe la sicurezza globale: come si fa a non capirlo? E' così ovvio!E' come se ti dicessero: guarda, vai pure in quel quartiere, ma attento perché all'angolo con la terza strada a destra c'è un criminale armato di bastone. Tu potresti cambiare strada o indossare un casco :), ma se nessuno ti dicesse niente verresti irrimediabilmente rapinato.E chi saranno gli unici a guadagnarci? I grandi produttori di software, che potranno ridurre gli investimenti in sicurezza senza che ciò possa essere reso pubblico, e che sicuramente hanno svolto adeguata azione di lobbying confidando nella totale ignoranza e incompetenza dei politici e dei legislatori sull'argomento, ai quali avranno fatto credere che i bug hunter sono come i cracker eccetera eccetera.
    • smemobox scrive:
      Re: Ma quindi, come funziona sta cosa?
      - Scritto da: Ubu re
      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.

      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.ma se la societá che produce il software se ne sciacqua le parti basse per mesi dopo che la vulnerabilitá viene resa nota.. anche se migliaia di crackers, lamers e lusers fanno danno utilizzando quel codice di esempio..figuriamoci se questi danno non venissero fatti.. la medesima sarebbe ancora piú letargica..solo coloro che sono a conoscenza dell'exploit lo utilizzerebbero. o lo rivenderebbero. e farebbero danno maggiori. per un tempo piú lungo.. forse per sempre. (anonimo)
      Dal momento che il secondo caso è quello
      ricorrente è bene che si prendano dei
      rimedi.eh.. un rimedio sarebbe quello di obbligare la societá a reagire tempestivamente.
    • smemobox scrive:
      Re: Ma quindi, come funziona sta cosa?
      - Scritto da: Ubu re
      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.

      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.ma se la societá che produce il software se ne sciacqua le parti basse per mesi dopo che la vulnerabilitá viene resa nota.. anche se migliaia di crackers, lamers e lusers fanno danno utilizzando quel codice di esempio..figuriamoci se questi danno non venissero fatti.. la medesima sarebbe ancora piú letargica..solo coloro che sono a conoscenza dell'exploit lo utilizzerebbero. o lo rivenderebbero. e farebbero danno maggiori. per un tempo piú lungo.. forse per sempre. (anonimo)
      Dal momento che il secondo caso è quello
      ricorrente è bene che si prendano dei
      rimedi.eh.. un rimedio sarebbe quello di obbligare la societá a reagire tempestivamente.
    • Anonimo scrive:
      Re: A me questa legge piace
      - Scritto da: Ubu re
      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.

      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.

      Dal momento che il secondo caso è quello
      ricorrente è bene che si prendano dei
      rimedi.No. Una volta individuata la vulnerabilita' e' bene che i particolari siano resi noti. Non e' invece bene che si pubblichino exploit. La pubblicazione della vulnerabilita' e' l'unico modo per dare alla comunita' il modo di difendersi, nonche' stimolare lo sviluppatore a porre rimedio ai suoi errori. Troppo comodo svincolarsi con clausole contrattuali dalla responsabilita' di danni originati dal malfunzionamento, e pretendere anche che i malfunzionamenti non siano resi pubblici.hola
    • Anonimo scrive:
      Re: A me questa legge piace
      E' un bene che tutti sappiano le falle presenti sul proprio sistema, che vengano rese pubbliche e che vengano resi pubblici gli exploit.perchè solo così:1) Tutti possono rendersi conto delle vulnerabilità presenti (non solo chi ha da spendere in consulenze)2) Le varie software house si svegliano a produrre patch3) I sysadmin pigri si svegliano ad aggiornare i sistemi.I veri problemi non li produce lo script kiddies che compila l'exploit e fa cazzate. I veri problemi vengono da quelli che, se avessero l'appannaggio di queste informazioni, potrebbero provocare danni serissimi e perdite di milioni di dollari. E nessuno saprebbe contrastarli.Sono molto democratico, ma questa non è un'opinione molto discutibile... è la dura realtà dei veri crimini informatici.Ma non c'è problema, per queste leggi: dopo i primi x milioni di di danni da parte di qualche multinazionale le cose cambieranno in fretta.
    • firefox88 scrive:
      Re: A me questa legge piace
      - Scritto da: Ubu re
      Un conto avvertire che il tal soft è vulnerabile
      e comunicarlo allo
      sviluppatore.

      Un altro è spiegare a tutti come localizzare la
      vulnerabilità, come sfruttarla e creare dei soft
      d'esempio facilmente
      'personalizzabili'.

      Dal momento che il secondo caso è quello
      ricorrente è bene che si prendano dei
      rimedi.Un conto è fornire informazioni sulla vulnerabilità, un conto è pubblicare un exploit.
    • Anonimo scrive:
      Re: A me questa legge piace
      si bravo... e chi è che ti stipendia per il lavoro da betatester che fai???almeno mi tolgo la soddisfazione di far vedere quanto disgraziato è il loro prodotto!!!!
  • AnyFile scrive:
    A quando la legge ... ?
    A quando la legge per vietare di lamentarsi, di dire che alcuni politici hanno tubato i nostri soldi, ecc.Di questo passo sara' perfino, per fare un esempio, dire che se compri una certa automobile e' rumorosa. I diritti di "certi" vanno tutelati anche a discapito di quelli delgi "altri".Non sia mai detto che qualcuno rischi di perdere delle vendite, perche' viene diffuso in giro che c'e' un difetto (vi sono perfino dei reati specifici nel codice penale, come quello di boicottaggio). Chi se ne frega se vengano rifilate sole e non si azzardano a dire in giro che sono stati fregati, altrimenti altri non si faranno piu' fregare.I bug non sono per nulla differenti ai vizi di fabbricazione. Se un ventilatore ha un difetto e vi e' il rischio che la ventola si stacchi e vada addosso a qualcuno allora tutti i ventilatori di quel tipo vengono ritirati dal mercato. (lo stesso era perfino successo quando qualcuno aveva iniettato una sostanza tossica in un panettone: avevano ritirato tutti i panettoni simili).Per il software (e aper alcune altre cose) si ragiona, non si sa il perche', in maniera completamente opposta. Nessuno dica niente, cosi' i "certi" riescono a vendere lo stesso la cosa fatta male.Quello che piu' imbarazza, e' che al di la' del nome certi ed altri, in questo caso i "certi" sono sempre gli stessi e gli "altri" sempre gli stessi.
  • Anonimo scrive:
    EVOLUZIONE ?!
    Una così rapida evoluzione nel mondo informatico è stata possibile solo grazie alla continua lotta tra hackers. Hackers che cercano di intrufolarsi, e hackers che cercano di difendersi.Questo ha portato un rapido evolversi delle tecnologie del software.Quando un nuovo baco viene scoperto non è forse meglio che TUTTI lo sappiano?Questa proposta di legge sembra fatta ad hoc per un manipolo di administrators svogliati che non hanno voglia di informarsi, di adeguarsi...insomma che non sanno amministrare. E danno la colpa all'hacking sano e genuino.Una legge del genere poterebbe solo ad un indebolimento delle infrastrutture inglesi.Se fosse presa di esempio dal resto del mondo, significherebbe METTERE UN FRENO ALL'EVOLUZIONE TECNOLOGICA.Quindi quele è il vero motivo di una proposta del genere?Sparo:FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE CONOSCENZE PER INTRUFOLARSI NEI SISTEMI ??secondo voi?
    • Anonimo scrive:
      Re: EVOLUZIONE ?!


      Quindi quele è il vero motivo di una proposta del
      genere?
      Sparo:
      FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE
      CONOSCENZE PER INTRUFOLARSI NEI SISTEMI
      ??Certo. Così come solo una ristretta minoranza strettamente controllata dallo Stato deve poter avere accesso alle armi, disporre di poteri di arresto e quant'altro. Qual'é il tuo problema, THX-1138?
      • Logan71 scrive:
        Re: EVOLUZIONE ?!
        Il problema non lo vedo tanto nella ristretta o larga schiera dei "privilegiati", quanto piuttosto nel fatto che si passa la colpa da chi la caxxata la fa a chi la caxxata la scopre.Sarebbe come se avessero cacciato in galera quelli che hanno fatto il test dell'alce alla Mercedes Classe A scoprendo che capottava alla grande...
        • Anonimo scrive:
          Re: EVOLUZIONE ?!
          Hai pienamente ragione.Però mi chiedo:quali sono i VERI MOTIVI che possono spingere dei politici a proporre una legge del genere?
          • Logan71 scrive:
            Re: EVOLUZIONE ?!
            - Scritto da:
            Hai pienamente ragione.

            Però mi chiedo:
            quali sono i VERI MOTIVI che possono spingere dei
            politici a proporre una legge del
            genere?Credo che il discorso lo vedano in quest'ottica: "non bisogna dire a nessuno che una cassaforte si apre senza problemi premendo 1 e 6 insieme per 15 secondi, perchè altrimenti un qualunque ragazzino può diventare un rapinatore."E probabilmente pensano che un rapinatore questo non lo sappia già...Così alla fine la gente usa una cassaforte che si apre facilmente, i ragazzini non lo sanno, e i delinquenti ringraziano.
          • Anonimo scrive:
            Re: EVOLUZIONE ?!
            ottima spiegazione!
        • Anonimo scrive:
          Re: EVOLUZIONE ?!
          - Scritto da: Logan71
          Sarebbe come se avessero cacciato in galera
          quelli che hanno fatto il test dell'alce alla
          Mercedes Classe A scoprendo che capottava alla
          grande...Dovrebbero. Sai quandi soldi hanno fatto perdere alla Mercedes?
          • Anonimo scrive:
            Re: EVOLUZIONE ?!
            - Scritto da:

            - Scritto da: Logan71


            Sarebbe come se avessero cacciato in galera

            quelli che hanno fatto il test dell'alce alla

            Mercedes Classe A scoprendo che capottava alla

            grande...

            Dovrebbero. Sai quandi soldi hanno fatto perdere
            alla
            Mercedes?Troll da due soldi
    • Anonimo scrive:
      Re: EVOLUZIONE ?!
      - Scritto da:
      Una così rapida evoluzione nel mondo informatico
      è stata possibile solo grazie alla continua lotta
      tra hackers. Hackers che cercano di intrufolarsi,
      e hackers che cercano di
      difendersi.? Faccio presente che l'informatica si occupa di altro, e che i problemi sulla sicurezza dei software, pur rilevanti, sono un corollario.
      Questo ha portato un rapido evolversi delle
      tecnologie del
      software.Hacker e' colui che trova modi nuovi per utilizzare una tecnologia, e secondo questa accezione concordo che lo strumento dell'hacking sia un elemento fondante dell'evoluzione tecnologica. Anzi direi umana in generale.
      Quando un nuovo baco viene scoperto non è forse
      meglio che TUTTI lo
      sappiano?Assolutamente si. Questo non vale solo per i bug (sdi sicurezza o meno) ma sopratutto per la conoscenza di come "REALMENTE" funzioni una tecnologia. Il divario tra conoscenza della massa e complessita' delle tecnologie e' tale che l'esistenza di una "comunita" di persone con competenze tecniche adeguate, che informano in modo indipendente l'opinione pubblica e'non solo auspicabile ma necessaria. L'analogia (anzi omologia) con il giornalismo mi sembra corretta
      Questa proposta di legge sembra fatta ad hoc per
      un manipolo di administrators svogliati che non
      hanno voglia di informarsi, di
      adeguarsi...insomma che non sanno amministrare. E
      danno la colpa all'hacking sano e
      genuino. Ricordiamoci comunque che ad utilizzare le tecnologie informatiche non ci sono solo i professionisti dell'IT
      Una legge del genere poterebbe solo ad un
      indebolimento delle infrastrutture
      inglesi.In assoluto si, no fintanto che la legge rimane una singolarita' inglese
      Se fosse presa di esempio dal resto del mondo,
      significherebbe METTERE UN FRENO ALL'EVOLUZIONE
      TECNOLOGICA.Se ci si limita ad impedire la pubblicazione specifica dei particolaroi di una vulnerabilita' software la tua rimane un esagerazione. Se si estende il concetto allora hai ragione. Del resto gia' le leggi sui brevetti stanno dando enormi problemi all'evoluzione tecnologica, e scientifica.
      Quindi quele è il vero motivo di una proposta del
      genere?
      Sparo:
      FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE
      CONOSCENZE PER INTRUFOLARSI NEI SISTEMI
      ??


      secondo voi?
      Dubito. Il problema e' di ordine commerciale. L'imperativo e' convincere le persone ad utilizzare le tecnologie informatiche con tranquillita' e "naturalezza". Primo perche' e' il presupposto fondante del commercio elettronico, secondo perche' le tecnologie informatiche sono uno strumento straordinario per il controllo, sia questo finalizzato al marketing commerciale, che al "plasmaggio" dell'opinione pubblica.hola
      • Anonimo scrive:
        Re: EVOLUZIONE ?!

        Dubito. Il problema e' di ordine commerciale.
        L'imperativo e' convincere le persone ad
        utilizzare le tecnologie informatiche con
        tranquillita' e "naturalezza". Primo perche' e'
        il presupposto fondante del commercio
        elettronico, secondo perche' le tecnologie
        informatiche sono uno strumento straordinario per
        il controllo, sia questo finalizzato al marketing
        commerciale, che al "plasmaggio" dell'opinione
        pubblica.

        holaCredo che siano solo gli hackers ad utilizzare le tecnologie informatiche con tranquillità e naturalezza.Tutte le altre persone lo vedranno sempre come una cosa non troppo naturale!
  • pKrime scrive:
    in un tribunale uk...
    ragazzi, semmai doveste trovarvi davantu a un giudice inglese, non fategli notare assolutamente che ha la patta aperta!! :D
  • Anonimo scrive:
    Ma che criminalizzino
    Così più nessuno li avvertirà quando il loro software sarà bacato ma tutti si diletteranno a passarli da parte a parte
  • Anonimo scrive:
    Ma bravi, la testa sotto la sabbia...
    ...qualcuno gliel'ha detto a 'sti luetici all'ultimo stadio che in ogni paese senza eccezioni una buona fetta di attacchi proviene dall'estero e quindi la "security by obscurity" imposta ai connazionali non avrebbe altro effetto che lasciarli pronti agli attacchi, piegati a 90° e con le braghe calate? Ah, già, ma alla maggior parte degli inglesi è una posizione che non dispiace... :@ :@ :@ :s :s :s
    • Anonimo scrive:
      Re: Ma bravi, la testa sotto la sabbia..
      - Scritto da:
      ...qualcuno gliel'ha detto a 'sti luetici
      all'ultimo stadio che in ogni paese senza
      eccezioni una buona fetta di attacchi proviene
      dall'estero e quindi la "security by obscurity"
      imposta ai connazionali non avrebbe altro effetto
      che lasciarli pronti agli attacchi, piegati a 90°
      e con le braghe calate? Ah, già, ma alla maggior
      parte degli inglesi è una posizione che non
      dispiace... :@ :@ :@ :s :s
      :sAhha... si son fatti una bella legge "all' italiana"....
Chiudi i commenti