Poi non date la colpa al malware

Museo di Iraklio / Heraklion museumSpesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.

Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.

Negli ultimi anni le cose stanno lentamente cambiando, ma fino a poco tempo fa chi scriveva software era assolutamente inconsapevole dei rischi della sicurezza perché o non se ne curava affatto o pensava che fosse un Problema Altrui.

Scrivere un software che tenga presente i problemi della sicurezza non è semplice, ma sta diventando rapidamente una necessità imperativa se non si vuole fare brutte figure, o peggio.

In questi giorni mi è capitato di migrare un PC di un cliente a Windows 7. Su questo PC c’è un procedura che funziona da anni che, ho scoperto, si basa su un database MySQL 3.x installato sulla stessa macchina in cui gira l’applicativo. Quando ho visto che avevo a che fare con MySQL e non con una delle tante incarnazioni dei database Microsoft ho tirato un sospiro di sollievo ed ero ancora più contento quando ho visto che l’autore della procedura aveva lasciato in una directory la documentazione e gli eseguibili per l’installazione del pacchetto che ha realizzato.

Quando faccio passare la documentazione non credo ai miei occhi: la procedura prevede che, una volta installato MySQL, il file my.ini debba contenere la direttiva skip-grant-tables.

Per chi non mastica MySQL la direttiva disabilita tutta la gestione degli utenti: tutti possono entrare da ogni host e tutti possono fare tutto senza bisogno di presentare credenziali valide. Everyone full control o 777 o birra Peroni e rutto libero, ci siamo capiti.

Per confermare il mio timore lancio il client MySQL dal mio portatile e provo ad entrare sul PC su cui è installato l’applicativo con root senza password. Bingo!

Il PC che contiene la nuova installazione ha un bel blocco sulla porta di MySQL, ma in tutti questi anni chiunque collegato in LAN (non è molto grossa, va detto) con un semplice scanner avrebbe potuto scoprire il buco e rubare dei dati o fare dei vandalismi.

Il fatto che un’applicazione giri sul PC di una LAN non autorizza il programmatore ad ignorare qualsiasi buona regola di sicurezza.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Poi non date la colpa al malware”

  1. Una applicazione che ha comperato un mio cliente usa mysql come database. Ovviamente per funzionare DEVE accedere a mysql con username “root” e password “il nome dell’applicazione”. DEVE. Non si puo` fare diversamente.

Spazio per un commento