E’ ormai da qualche giorno che la versione italiana di LulzSec ha rilasciato le prove della sua intrusione nei database di diverse università italiane. Ho parlato qualche tempo fa di SQL injection, una delle tecniche di hacking che ricorre di più in questi attacchi, ma dalle varie analisi che si sono fatte in rete su questi database inizio a dubitare che per entrare nei database universitari serva davvero fare “hacking”.
Si può leggere infatti nei dati di questi database universitari (che vi ricordo essere illegale possedere… per cui se li trovate in giro non scaricateli) che in almeno una di queste università c’era un admin con account:
username: admin
password: pippo
Sembra ci siano un altro paio di abbinamenti nome utente/password scontati (fra gli admin… fra i normali utenti è peggio), ma questo è quello che salta più all’occhio
Ora, viene da chiedersi quale sicurezza possa esserci in un sistema in cui è l’admin ad avere una password del genere.
Detto questo, le password degli utenti non sembrano essere da meno. E’ piuttosto chiaro che nella maggior parte degli istituti hackati la password di default degli utenti fosse il cognome o il nome dell’utente, altro brutto segno.
Non so se l’Università di Genova, a cui sono iscritta, non è stata del tutto presa di mira oppure se è stata attaccata ed ha resistito, ma posso confermare che le password di default da noi sono codici alfanumerici, il che presuppone di sicuro un po’ più di attenzione alla sicurezza di quanta ce ne fosse in queste altre università.
Anche perché non basta chiedere a tutti gli studenti e ai professori di cambiare la propria password di default in qualcosa di più difficile da indovinare: qualcuno che non lo fa c’è sempre.
Ci sono poi, ovviamente, gli eccessi.
La rete di Informatica, sempre a Genova, richiede di cambiare password ogni certo numero di mesi ed ogni password deve avere almeno:
- Un carattere maiuscolo
- Un carattere minuscolo
- Un numero
- Un carattere speciale (i soliti: £$%&@#§!?^°)
Il risultato?
Beh, immagino sia un ottimo esercizio di memoria per tutti gli informatici, ma credo che molti semplicemente aggiungano in fondo un numero che aumentano ad ogni cambio di password (rendendo vano lo sforzo di fargliela cambiare), se la scrivano (cosa che rende il tutto dannoso) o se la dimenticano (il che crea disagi un po’ per tutti).
Io personalmente sono molto abituata ad utilizzare password alfanumeriche, che riesco a memorizzare piuttosto bene. Ma impararne una nuova ogni tot mesi, buttando via la vecchia? Se proteggesse del lavoro importante (se si trattasse del computer di un tribunale, di una banca, della polizia) lo farei, ma per il computer usato per le lezioni di laboratorio all’università ce n’è davvero bisogno?
Anche perché se qualcuno vuole accedere ai miei dati personali lo farà più facilmente crackando la password che uso per la posta o per facebook, da cui può certamente tirare fuori più informazioni (beh, magari da facebook non moltissime, nel mio caso).
Concludo con la lista delle università colpite…
Qualcuno di voi frequenta una di queste? Pensate che nella vostra università o sul vostro posto di lavoro la sicurezza informatica sia un problema che viene affrontato con serietà?
unisi.it
unisa.it
uniroma1.it
anotonianum.eu
econoca.it
uniba.it
unibocconi.it
unifg.it
unime.it
unimib.it
uniurb.it
unibo.it
unipv.it
unina2.it
unile.it
polimi.it
unito.it
unimo.it
Pacman
Nostradamus
Magical Cat Adventure
Snake