Mese: Gennaio 2017

Bello sottile… praticamente una bomba

Confermate le indiscrezioni: il responsabile dei problemi al Samsung Galaxy Note 7 è stata la sua sottigliezza, un obbiettivo che si è cercato di raggiungere al massimo e che ha portato ad errori di progettazione ed implementazione (qui un riassunto dei problemi, mentre qui c’è una descrizione più “tecnica”)…

infografica
infografica Samsung (fonte)

Al che mi chiedo: ma è proprio così necessario avere un telefono sottile sottile sottile, che se non va a fuoco, nemmeno arriva a fine giornata con la batteria???

Competenze informatiche cercasi (al minimo costo)

La storia è recente: qualche mese fa un neo-diciottenne si collega per la prima volta al sito 18app, applicazione web del governo che permette appunto ai diciottenni di disporre di buoni fino a € 500. Giovane piccolo nerd, analizzando il traffico HTTP riesce a trovare una falla nel sistema che permette di conoscere i dati altrui e di generare bonus gratuitamente utilizzando i fondi degli altri utenti.

Tutto è bene quel che finisce bene: il giovane decide di rendere noto ai gestori del sito la problematica, che viene sistemata. Per i dettagli tecnici, vi rimando al sito del giovane che spiega tutto.


fonte: il sito del diciottenne

Ho però, una riflessione, partendo da un presupposto: il ragazzo non ha fatto nulla di “eccezionale” in senso assoluto (il controllo del traffico HTTP e cose simili sono cose frequenti quando si lavora in informatica), anche se sicuramente per la sua età ha capacità e conoscenze fuori dal comune. Insomma, la stampa generalista, come al solito, ha bisogno di scalpore.

Quello che mi chiedo però è: ma i creatori e gestori del servizio, che leggo è SOGEI, ma come cazzo hanno progettato questo sito??? La vulnerabilità si può descrivere per vie brevi in questo modo:

il sito, nel creare un buono, ri-chiedeva all’utente il suo identificativo (senza password); era perciò possibile inviare l’identificativo di un altro utente (gli identificativi erano numeri progressivi, per cui facili da indovinare)

Per capire la portata di questo bug: è come se nell’interfaccia di gmail/outlook ci fosse un campo con il nostro indirizzo email, popolato al nostro accesso; se in questo campo scrivo un altro indirizzo email e premo invio, posso vedere la posta di un altro.
Ma chi c’hanno messo a scrivere il codice? Topo Gigio sicuramente no, non avrebbe fatto una bestialità del genere…

Forse qualcuno (ai piani alti) deve iniziare a capire che per avere software di qualità servono programmatori competenti, e che questi vanno pagati bene… dare lavoro al primo universitario o neo-laureato in stage, non è garanzia di una buona riuscita nel lavoro.