La storia è recente: qualche mese fa un neo-diciottenne si collega per la prima volta al sito 18app, applicazione web del governo che permette appunto ai diciottenni di disporre di buoni fino a € 500. Giovane piccolo nerd, analizzando il traffico HTTP riesce a trovare una falla nel sistema che permette di conoscere i dati altrui e di generare bonus gratuitamente utilizzando i fondi degli altri utenti.
Tutto è bene quel che finisce bene: il giovane decide di rendere noto ai gestori del sito la problematica, che viene sistemata. Per i dettagli tecnici, vi rimando al sito del giovane che spiega tutto.
fonte: il sito del diciottenne
Ho però, una riflessione, partendo da un presupposto: il ragazzo non ha fatto nulla di “eccezionale” in senso assoluto (il controllo del traffico HTTP e cose simili sono cose frequenti quando si lavora in informatica), anche se sicuramente per la sua età ha capacità e conoscenze fuori dal comune. Insomma, la stampa generalista, come al solito, ha bisogno di scalpore.
Quello che mi chiedo però è: ma i creatori e gestori del servizio, che leggo è SOGEI, ma come cazzo hanno progettato questo sito??? La vulnerabilità si può descrivere per vie brevi in questo modo:
il sito, nel creare un buono, ri-chiedeva all’utente il suo identificativo (senza password); era perciò possibile inviare l’identificativo di un altro utente (gli identificativi erano numeri progressivi, per cui facili da indovinare)
Per capire la portata di questo bug: è come se nell’interfaccia di gmail/outlook ci fosse un campo con il nostro indirizzo email, popolato al nostro accesso; se in questo campo scrivo un altro indirizzo email e premo invio, posso vedere la posta di un altro.
Ma chi c’hanno messo a scrivere il codice? Topo Gigio sicuramente no, non avrebbe fatto una bestialità del genere…
Forse qualcuno (ai piani alti) deve iniziare a capire che per avere software di qualità servono programmatori competenti, e che questi vanno pagati bene… dare lavoro al primo universitario o neo-laureato in stage, non è garanzia di una buona riuscita nel lavoro.
Un tempo l’informatica era poco frequentata, vi approdavano persone di grande formazione culturale (matematici, fisici, o anche filosofi come Papert) interessati alla materia e non come ripiego. Erano pochi, ben pagati e dovevano fare un lavoro di alta qualità senza avere (almeno non esplicitamente) un fondamento teorico per la propria disciplina. In questo modo è nata la “computer science” il cui legame diretto col mondo applicativo era forte e immediato. Con il boom dei computer servivana manodopera, e il livello richiesto si è abbassato: chiunque tu fossi bastava un corso sul Cobol e i sistemi 360/370 e via a produrre applicazioni. Piene di bug ovviamente. Alla fine degli anni ’60, per ovviare a questo, e dovendo reggere la domanda che ormai era imponente, si è continuato a imbarcare e utilizzare persone del tutto analfabete di computer science, e si è provato a usare i metodi che gli ingegneri da tempo usavano per costruire ponti usando muratori, robot usando operai specializzati, etc. La situazione oggi è ancora questa: per programmare le applicazioni mediamente richieste dai clienti non servono programmatori, ma persone in grado di usare un certo IDE, cercare in certi forum, copiaincollare, commentare il codice per fare i test, etc. specializzati in un solo linguaggio, come un tempo era il Cobol, e inconsapevoli della varietà e vastità del mondo (e anche della sua cattiveria): ricordo un collega unltra50enne che sapeva solo il Cobol e l’SQL e per il quale ogni altra cosa era “un giocattolo”: non capiva che una applicazione Web si impalla più spesso di un programma su mainframe perché la complessità sistemica dell’ambiente ove opera è esponenzialmente più alta. E non lo capiva perché non sapeva nulla di computer science pur credendo di sapere tutto di informatica. Aziende a manager suppliscono a questa situazione con le certificazioni, come se standardizzare le conoscenze di un manovale qualsiasi e poco “educated” potesse sostituire la creatività di un architetto. I clienti chiedono persone certificate credendo di aver così risolto il problema. Ma i dirigenti, sia dei clienti che delle aziende, sono proprio i programmatoro Cobol ignari di computer science ormai troppo cresciuti per continuare a baloccarsi con JCL e ABEND e sono i primi a non capire cosa fanno, vendono o comprano. Ecco, in sostanza, perché l’informatica degli ultimi 30 anni è un brodo limaccioso e indigeribile, e quella dei tempi d’oro un buffet ricco e gustoso. Ammazza quanto ho scritto… Ciao!
questo è un motivo in più per studiare ed emergere dalla massa… 😀
ma anche tenendo conto della massa stessa e di tutti quelli che ci sono dentro, rimane il fatto che l’implemetazione di SOGEI (o del subappaltatore) è veramente fuori dal mondo!!