Ricerca in FOLBlog

[SdSM] Parhanomya

 Scritto da alle 13:30 del 21/11/2009  Aggiungi commenti
Nov 212009
 
closeQuesto articolo è stato pubblicato 7 anni 8 mesi 27 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Un po’ di tempo fa. In effetti, per voi che leggete, molto tempo fa. Il buon Appelbaum (e questo qui e’ un esperto di crittografia ed un matematico eh… e poi dicono di Einstein…) riusci’ finalmente a dimostrare al mondo tutto che il sistema di criptatura Md5 non e’ poi cosi’ buono. Ok, la vulnerabilita’ dell’algoritmo era nota da tempo (4 o 5 anni se ricordo bene), ma una "prova di concetto" non era mai stata tentata. Appelbaum & soci adesso sono riusciti, attaccando insieme 200 Playstations, a generare un certificato "fasullo" che sembra vero.

Se non siete dei "veri" geek, se non avete un sito di e-commerce, se non lavorate per e-bay e, naturalmente, se non siete Appelbaum, probabilmente non ci avete fatto manco caso. Purtroppo per me, io devo farci caso.

DB – …quindi, per prevenire eventuali domande dei clienti, e’ meglio se agiamo subito e prepariamo una lista di tutti quelli che hanno certificati fatti con RapidSSL che utilizzano Md5 come sistema di criptatura.
IO – Ok, abbiamo un qualche sistema di login per vedere i dati direttamente su RapidSSL?
DB – No, non funziona cosi’…
IO – E quindi? (come se non lo sapessi)
DB – Si tratta di vedere tutti i siti internet e controllare i certificati.

Ok, e con questo, IO esco di scena ed il mio alter-ego ScriptMan si mette all’opera.

Mentre preparo lo scriptone che estrae i dati dal database della fatturazione e controlla l’eventuale certificato dell’eventuale sito HTTPs, mi becco una bella telefonata di CL. Si’, CL, quello di cui ho gia’ detto qui, qui e qui.

IO – $network
CL – Aaaagghhh!! Panico, terrore, raccapriccio!
IO – ??? ‘a$$o succede??
CL – Ci hanno bucato! Cracker! Hacker (sic!), malviventi, lestofanti! Il bug del SSL!
IO – Eh? Che bug?

Insomma, dopo parecchio blateramento, riesco a calmare il pisquano e cerco di capire che accidenti sta dicendo.

CL – …e quando sono andato a fare l’aggiornamento del sito mi ha ritornato uno stranissimo errore mai visto prima! Deve essere sicuramente che qualcuno ha usato il buco del SSL per entrarci nel sito. Oddio! Che facciamo?
IO – Prima di tutto, il "bug" del SSL non e’ quello che pensi tu. E non serve per "bucare" i siti ma per "fingere" di essere un sito quando non lo si e’.
CL – …come non buca ?
IO – (pensando: sei tu che ti buchi… e non so con che cosa) No. Il "bug" consentirebbe ad un eventuale malfattore di generare un certificato che viene riconosciuto dal browser dell’utente come autentico anche se non lo e’. Ma non serve per "bucare" niente. E’ un trucco per phishers, non per crackers.
CL – …ma… l’amico di mio cugino che e’ uno che ci capisce (double – sic!) mi ha detto…

Mettete qui’, se vi pare, una luuuuunga spiegazione di che roba e’ l’SSL, che roba e’ l’MD5, a che servono i certificati, che roba e’ il bug, la rava e la fava…

IO – Comunque, ritornami al problema, che sito, che server e che messaggio di errore?
CL – Il sito e’ tal-de-tali sul server $server, ma il messaggio di errore non lo ricordo, che quando l’ho visto ero convinto che fosse il problema del bug del buco ed ho spento il computer.

Me pensa: eh si’, che se tu spegni il computer gli fa qualche cosa al bug del buco…

IO – Hummmm… fammi vedere… clicckety-click… Allora, quel server non ha nessun sito HTTPS, quindi, anche assumendo che ci sia il bug del buco in questo caso non farebbe nessuna differenza. In quanto all’errore… ri-clicckety-click il fatto che il disco fisso sia pieno al 100% potrebbe esserne una causa.
CL – Come pieno al cento per cento?
IO – Mah, magari e’ il caso di fare un po’ di pulizia? Tipo rimuovere le 18 versioni vecchie del vostro straca$$o di CMS?
CL – Ma io volevo lasciarle perche’ se ci capita di dover fare un restore…
IO – Di 18 versioni?
CL – Hemmm… vabbe’, forse sono un po’ eccessive…

Comunque, riesco a convincerlo a guardare quello che si puo’ eliminare da quel disco e lo lascio al lavoro.

E pensare che questa gente sono quelli che fabbricano siti web e gestiscono i server per altri… "il bug del buco"…

Comunque, un’oretta dopo ho lo scriptone pronto, faccio girare e scopro cose carine, come il fatto che il sito di $noiguardiamoivostriinteressi di cui ho gia’ detto piu’ di una volta, usa un bellissimo certificato firmato da nientemeno che da Snake Oil Ltd… Sigh.

Davide

legenda personaggi

Technorati Tags: Storie dalla Sala Macchine,humor

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: