Università e sicurezza telematica

E’ ormai da qualche giorno che la versione italiana di LulzSec ha rilasciato le prove della sua intrusione nei database di diverse università italiane. Ho parlato qualche tempo fa di SQL injection, una delle tecniche di hacking che ricorre di più in questi attacchi, ma dalle varie analisi che si sono fatte in rete su questi database inizio a dubitare che per entrare nei database universitari serva davvero fare “hacking”.

Si può leggere infatti nei dati di questi database universitari (che vi ricordo essere illegale possedere… per cui se li trovate in giro non scaricateli) che in almeno una di queste università c’era un admin con account:

username: admin
password: pippo

Sembra ci siano un altro paio di abbinamenti nome utente/password scontati (fra gli admin… fra i normali utenti è peggio), ma questo è quello che salta più all’occhio
Ora, viene da chiedersi quale sicurezza possa esserci in un sistema in cui è l’admin ad avere una password del genere.

Detto questo, le password degli utenti non sembrano essere da meno. E’ piuttosto chiaro che nella maggior parte degli istituti hackati la password di default degli utenti fosse il cognome o il nome dell’utente, altro brutto segno.

Non so se l’Università di Genova, a cui sono iscritta, non è stata del tutto presa di mira oppure se è stata attaccata ed ha resistito, ma posso confermare che le password di default da noi sono codici alfanumerici, il che presuppone di sicuro un po’ più di attenzione alla sicurezza di quanta ce ne fosse in queste altre università.
Anche perché non basta chiedere a tutti gli studenti e ai professori di cambiare la propria password di default in qualcosa di più difficile da indovinare: qualcuno che non lo fa c’è sempre.

Ci sono poi, ovviamente, gli eccessi.
La rete di Informatica, sempre a Genova, richiede di cambiare password ogni certo numero di mesi ed ogni password deve avere almeno:

  • Un carattere maiuscolo
  • Un carattere minuscolo
  • Un numero
  • Un carattere speciale (i soliti: £$%&@#§!?^°)

Il risultato?
Beh, immagino sia un ottimo esercizio di memoria per tutti gli informatici, ma credo che molti semplicemente aggiungano in fondo un numero che aumentano ad ogni cambio di password (rendendo vano lo sforzo di fargliela cambiare), se la scrivano (cosa che rende il tutto dannoso) o se la dimenticano (il che crea disagi un po’ per tutti).

Io personalmente sono molto abituata ad utilizzare password alfanumeriche, che riesco a memorizzare piuttosto bene. Ma impararne una nuova ogni tot mesi, buttando via la vecchia? Se proteggesse del lavoro importante (se si trattasse del computer di un tribunale, di una banca, della polizia) lo farei, ma per il computer usato per le lezioni di laboratorio all’università ce n’è davvero bisogno?
Anche perché se qualcuno vuole accedere ai miei dati personali lo farà più facilmente crackando la password che uso per la posta o per facebook, da cui può certamente tirare fuori più informazioni (beh, magari da facebook non moltissime, nel mio caso).

Concludo con la lista delle università colpite…
Qualcuno di voi frequenta una di queste? Pensate che nella vostra università o sul vostro posto di lavoro la sicurezza informatica sia un problema che viene affrontato con serietà?

unisi.it
unisa.it
uniroma1.it
anotonianum.eu
econoca.it
uniba.it
unibocconi.it
unifg.it
unime.it
unimib.it
uniurb.it
unibo.it
unipv.it
unina2.it
unile.it
polimi.it
unito.it
unimo.it

Share/Bookmark
  • http://www.newfractals.net/ Lorenzo Valli Buscherini

    Anche a Firenze il sistema delle password per i dati degli studenti è abbastanza “sicuro e complesso” ed ogni sei mesi, mi pare oppure tre… non ricordo, si è obbligati a modificare la password anche se non mi pare vi siano troppe restrizioni sulla composizione della password stessa.
    E’ difficile dire se è paranoia o buona norma, il fatto che neppure Firenze sia tra le università hackerate farebbe pensare alla seconda ipotesi. Come facevano però notare alcuni studenti fiorentini forse il tutto è dovuto dalla difficoltà nel capirci qualcosa sul sito 😀

    Comunque ecco un commento di un tecnico del CSIAF (sito dell’università di Firenze) sull’accaduto (o almeno su un forum di studenti fiorentini ha detto di esserlo 🙂 )

    […]chi si nasconde dietro i fake-domains dai quali secondo me è partito l’attacco ha tutto l’interesse a promuovere e vendere a suon di quattroni prodotti per incrementare la sicurezza dei sistemi informatici….
    Il metodo secondo me utilizzato è stato veramente subdolo e non a costo zero, qualcuno, non in Italia, ci ha investito parecchio.
    Penso che la cosa più urgente da fare sia incentivare la cultura della sicurezza rispetto all’utilizzo delle credenziali di accesso nelle persone, siano esse tecnici, docenti o studenti.
    Non c’è ancora piena coscienza dell’importanza di aver cura delle proprie passwords.

    Che dire… l’unica soluzione veramente sicura sono gli “autenticator” che usano banche ed alcuni giochi online? Io ho una scarsa memoria per le password e ringrazio ancora la mia banca per avermi dato un codice PIN del bancomat a prova di scemo… ed una volta l’ho anche dimenticato 😛

    • http://www.newfractals.net Elena Itzcovich

      Non sono del tutto d’accordo con questo presunto tecnico del CSIAF…
      Anche il bersaglio mi fa pensare che ci siano davvero dei ragazzi che agiscono senza nessun compenso, anzi, secondo me è plausibile che su 18 università qualcuna sia stata “presa dall’interno”: qualcuno che era già riuscito ad entrare può insomma avere aperto le porte trascinato dal fattore “quanto sono fighi quelli di LulzSec”.
      Dopotutto i computer della propria scuola o università sono il primo bersaglio che viene in mente a quasi chiunque voglia provare ad entrare in un sistema informatico a cui non dovrebbe avere accesso.

      • http://www.newfractals.net/ Lorenzo Valli Buscherini

        Sullo stesso forum qualcuno faceva battute sul fatto che potessero essere iscritti a Firenze gli autori degli attacchi 😛
        Scherzi a parte tutto è possibile, ho riportato questo parere da un anonimo tecnico che non so quanto conosca LulzSec. Non saprei proprio che pensare, se non che “pippo” diventerà la prossima password che userò per l’acceleratore di particelle nella sala caldaie di casa mia 😀

      • Andrea Angelotti

        Ti quoto in pieno!!
        Tra l’altro non è ben informato questo fantomatico tecnico perchè gli attacchi sono stati effettuati dalla divisione italiana dei LulzSec!
        ..il chè lascia poi tutto dire sul fatto che all’estero abbiano colpito i database di siti porno o governativi, mentre qui in Italia quelli di noi poveri studenti universitari già presi da mille problemi!.. senza contare che probabilmente i maggiori estimatori dei gesti di questi hacker potevano proprio essere dentro le università, bruciandosi quindi le uniche simpatie acquisite lungo la strada delle loro azioni.. Tanto per cambiare gli italiani, anche gli hacker italiani, devono sempre dimostrare la loro arguzia nella scelta delle proprie azioni..

  • Genxha

    Si tratta delle stesse regole in vigore nella maggior parte delle aziende. Ovviamente per non diventare scemo ne ho due, le alterno e gli aggiungo numeri all’inizio o alla fine. Ma anche se avessi una password più complessa, Notes fa l’autologin..

    • http://www.newfractals.net Elena Itzcovich

      Beh, ammetterai che per una azienda obbligare a cambiare le password periodicamente è più sensato che per gli *studenti* di una università ^_^
      Poi gli autologin sono autologin…..