martedì, agosto 29, 2017

cretinismo grillino

Un po di storia sull'hack dei server dei cinquestelle.



Ad aprile 2013, dopo l'ennesimo default dei servers grillini scrissi un post su quanto fossero ignoranti nel metter su un sistema.
http://allarovescia.blogspot.it/2013/04/grillo-e-la-rete.html

I grillini, autoproclamatesi massimi esperti di computer, misero su un sistemino che ha dei problemi per l'elezione del piu' figo della compa del liceo ma loro, gli autoproclamatesi massimi esperti di computer, lo usano per grandi quantita' di persone e va giu'. Piu' volte, ogni volta che aumenta il traffico.
Gli autoproclamatesi massimi esperti di computer dicono che e' colpa degli accher...

I grillini votano di nuovo e il server, di nuovo, va giu'. Ho gia' detto che CASUALMENTE schiattano tutte le maledette volte che aumenta il traffico?
Ovviamente e' colpa dei caccher, non certo perche' il server degli autoproclamatesi massimi esperti di computer hanno tirato su un sistemino in PHP malfatto operato dal cuGGino.

I server del movimento 5 incompetenti nel 2013 vanno giu' come un aereo a cui si sono dimenticati di fare quella cosetta che si chiama “ala”.
Ovviamente i database vanno a donne di facili costumi a pagamento.

Mentre gli esperti di computer si chiedevano come si fa a votare il futuro di una nazione con un affare che anziche' fare delle somme tira fuori risultati casuali gli autoproclamatesi massimi esperti di computer informano che va tutto bene: i server funzionano. Cerrto la spia e' accesa!

Il voto online e' controverso gia' di base, in definitiva qualsiasi esperto di informatica vi puo' dire che il voto online, anche ben fatto, e' un maledetto problema irrisolvibile e occorrono, per chi vuole provarci, particolari e notevoli attenzioni.

In pratica i grillini sono folli imbecilli autoproclamatesi massimi esperti di computer che forniscono accesso a chiunque nel mondo voglia votare al posto dei grillini.

A maggio 2013 scrissi del presunto furto delle e-mail grilline, quelle con la password 1234, per intenderci.
http://allarovescia.blogspot.it/2013/05/ancora-grillini-e-pc.html

Dal 2013 ho smesso di parlarne perche' se a uno dici che e' un folle imbecille a tener su quella infrastruttura colabrodo e ai fan sta bene (per cose come un algerino votante 10.000 volte pro immigrazione) certifica solo che i fan sono idioti e lo stato per ragioni oscure non procede contro i grillini rei di fregarsene della 196/03.

Ma questa estate, dopo quasi un lustro di minchiate e aggiustamenti alla benemeglio per evitare che caschi ogni 20 secondi, arriva un hacker, uno vero, non uno autoproclamato, e manda una mail al gruppo di aluatte che gestisce il colabrodo spiegando che hanno gravi problemi spiegando quali sono i piu' grossi ed evidenti problemi del sito di merda.

Forse lo fa perche' gli aplorrini rischiano di prendere in mano il volante della corriera paese e il fatto di avere uno strumento di gestione delle decisioni che e' peggiore di avere i freni rotti mentre si scende dal passo non e' il caso.
Un santo uomo.

Anziche' ringraziare il pover'uomo, che si e' preso cura di loro e gli ha fatto un'analisi che altrimenti costerebbe una bombata di soldi, I grillini il 3 agosto decidono di accendere il ventilatore e infilarci un po di feci. Dopotutto le scimmie lanciano le feci, no?

L'attacco hacker subito da Rousseau di cui si parla oggi, in realtà è avvenuto all'interno del vecchio sito. La nuova versione di Rousseau, non presenta più la vulnerabilità segnalata.

In realta', da analisi fatte successivamente, la nuova versione non ha alcuni aggiornamenti di sicurezza dal 2010. Tanto nuova non e'. Diciamo BUGIARDI?

Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.

Anche questa e' una bugia. Le falle di misurano a badilate.


L'attacco non è avvenuto durante votazioni.

Anche questo si rivelera' una bugia.
Non solo, con questa frase si apre l'enorme voragine di non aver capito quale sia il grosso problema a cui vanno in contro i poveracci che sono iscritti a quella piattaforma.


Valuteremo l'azione legale da intraprendere nei confronti dell'hacker, il cui attacco è assolutamente da condannare.

Uno ti fa un GROSSO favore ed e' da condannare? Scusate vi facevo un gruppo di idioti, ma non cosi' colossali.

Grazie alle donazioni dei sostenitori, continueremo ad investire sulla sicurezza e sulla protezione dei dati degli iscritti, che sono sempre state una priorità e sono state garantite con elevati standard di qualità.

Insomma, non garantiamo un cazzo, i vostri dati sono perforati, siamo ballisti ma dateci i soldi: li gradiamo tanto.

Concludendo: reagiamo con una valanga di merda prima che qualcuno legga cosa effettivamente e' successo e comprenda la gravita' della cosa.


Neppure il giorno dopo un certo cracker, R0gue_0, inizia a fornire le prove di essere in grado di leggere da anni tutto quello che e' contenuto nei DB e, nei giorni successivi, fornisce esempi di scrittura.

In pratica se siete utenti del sitarello grillino il vostro nome, numero di cellulare, mail e password (perche' incredibilmente in chiaro) sono in mano a criminali.
Una pericolosita' inaudita.
Se troverete la carta di credito azzerata grazie ad un phone hijacking, un conto corrente fumato attraverso la vostra mail o il credito di paypal disintegrato insieme alla carta di credito sapete che avete fatto l'errore di essere cosi fessi da essere iscritti al grillinismo
Inoltre la scrittura del DB squalifica qualsiasi votazione ottenuta dal catorcio, anche quelle su cui si decide come difendere l'italia e gestire i militari o come scegliere il presidente della sicilia.

Se fosse un'azienda sarebbe uno scandalo cosi' grande che partirebbe una class action miliardaria con i grillini urlanti.

Ma non e' tutto: il sito fornisce dati personali degli iscritti anche a chi visita pagine nascoste ma indicizzate da google. Roba da gelato in fronte. Almeno questa viene poi riparata senza che si sappia cosa abbia spifferato a chi e fa un po sparira' dalla cache. Chi vuole provare su WBM?

Di Maio, un'altro genio di computer afferma che non ci sono problemi: basta cambiare a' passwodda


Angelo Tofalo, deputato pentastellato e componente del Copasir, il Comitato parlamentare per la sicurezza della Repubblica. «L’attacco hacker subito da Rousseau è avvenuto all’interno del vecchio sito. Le vulnerabilità scoperte sono state superate con la nuova versione della piattaforma racconta Tofalo, Ma va detto che gli attacchi informatici mettono a rischio la Cia e il Pentagono, così come il Corriere della Sera e la Nasa.: normale che lo sia anche Rousseau»

Eggia' noi, il pentagono e la nasa, uguali uguali. Fortuna che fai parte del copasir. Dimettiti visto che non hai capito nulla.


«Difficile parlare di una vera intrusione nel sistema operativo di Rousseau— sostiene il parlamentare Da quello che ho visto mi sembra che gli hacker abbiano avuto accesso a un database vecchio, con dati superficiali, nonostante contenesse informazioni personali».

Chissenefrega dei dati personali. Anzi apriamo tutti i dati di tutti online direttamente via web. 
Dai, mettiamo su anche i redditi di tutti gli scritti, che auto hanno, dove passano le vacanze, quali proprieta' possiedono  e se hanno amanti, poi tutti in acido con la cocacola con aspirina e mentos. Sai che rutti!, divertiamoci e dimentichiamo le cose serie... come al solito.

Fossi un grillino, di quelli un pochetto meno imborniti, mi girerebbero le balle che tutti i miei dati personali, compresa la cifra che ho dato al partito e, magari,  cosa ho votato, finissero nelle mani di sconosciuti.

Anche quello di confondere un sito con un sistema operativo, fatto da molti grillini desta spavento. Roba che neppure gli ignoranti grossi come il ministro franceschini fanno. Questi sono peggio del franceschini e i suoi valvassori, capite dove stiamo finendo?



gli atti criminali che il MoVimento 5 Stelle ha subito [] i sicari....

Si, entrare su un database non protetto altrui e' un crimine. Non proteggere minimamente il database, oltre ad essere un'istigazione, e' un fottuto enorme crimine.
Non sono sicari, al massimo ragazzetti con un piccolo sasso da 20 grammi.
Stiamo probabilmente parlando della piu' grande e pericolosa perdita dati (con pass in chiaro nei DB) avvenuta in italia.



La vera domanda a cui non vogliono rispondere rimane:
Da quando esiste la possibilita' di scorazzare dentro li?
Io azzardo un “da sempre”

Cosa e' stato di conseguenza rubato?
Io azzardo un “tutto”

Cosa e' stato fisicamente cambiato?
Io azzardo un “poco, dopotutto al momento manovrano contro gli interessi degli italiani”


I grillini vantano inoltre una presunta certificazione delle votazioni.
Due parole:
sembrerebbe che la certificazione sia realmente presente solo per 2 su 70 delle votazioni
Mi devono spiegare quale parte delle votazioni e' certificata.
Mi spiego.
Io posso certificare che la cassetta delle offerte e' presente, 
posso certificare che la gente la usa, 
posso certificare che e' di legno ed e' in chiesa
posso certificare che passa regolarmente di mano in mano 
posso certificare che vengono fatte offerte
posso certificare che non e' stata bruciata o distrutta
posso certificare tantissime cose.
Ma se e' piena di buchi e passa di mano in mano non posso certificare che il contenuto rispetti il numero di monete entranti dalla fessura ma solo il fatto che ci sono delle monete. 
Se le monete sono entrate o uscite dai buchi grossi come un pugno sui lati o se le monete siano solo quelle entrate dalla piccola fessura in alto nessuno, onestamente, e' in grado di dirlo.


In pratica il sito grillino e' una puttanata e andrebbe mandato giu' istantaneamente e i dati presenti azzerati. Solo cosi' si garantirebbe una protezione degli utenti che dovrebbero iscriversi ex-novo ad una nuova versione evitando cosi' di propagare l'errore.
Questo ovviamente causerebbe uno stop di mesi. Uno di quei mali necessari.

Inoltre adesso vedremo davvero se i grillini sono la kasta o sono contro la politica.
In un mondo perfetto fra mail disperse e alte menate avrebbero dovuto finire nelle grinfie del garante.
non e' successo.
Ora, con questi bug, alcuni semplicemente colossali, il garante dovrebbe per lo meno chiedere, come capita spesso, di pagare ad ogni utente una multa di 250E.
Oppure, come sarebbe ovvio, una enorme multa seguita da anni di reclusione del responsabile dei dati.
Se questo non accadra' sapremo che la piu' grande kasta, il potere forte, gli intoccabili, quelli che sono sopra le parti sono i grillini.
Io faccio una scommessa: i grillinini sono la nuova kasta regnate e intoccabile dalla legge.

Come si fa un sito che non serva per eleggere miss maglietta bagnata?

Dove sono i server.
Il problema che per roba cosi' non possono essere su un arrubbone qualsiasi ma devono avere una sorveglianza degli accessi al di fuori di ogni ragionevole dubbio.
Diciamo che deve essere piantonato 24/24 e solo un ridotto numero di persone puo' accedere alla stanza e queste devono essere selezionate.
Se le mettiamo su una rete di un provider, chi e' che garantisce il personale del provider e il personale degli altri clienti da cui potrebbe partire un attacco?

Poi esiste il problema dei dati. Diciamo che usare un mal configurato SQL accessibile a tutti e con bug preistorici come hanno fatto non e' una soluzione. Il server dati e il frontend non devono comunicare su internet a la cazzo ma se proprio devono stare in differenti luoghi, come deve essere per il backup, le connessioni devono essere almeno su una VPN protetta  criptando anche il traffico fra server.
Ovviamente deve essere tutto in mirror per evitare che sul piu' bello vada tutto a rotoli: serve una terza location protetta.

Inoltre il frontend e il backend non devono essere lo stesso affare. In pratica quando vogliamo sicurezza, come succede con le banche, noi in realta' non siamo sul computer della banca ma una sua copia. Finita la transazione, senza errori e senza che qualcuno ci abbia messo il becco il movimento viene fatto in maniera identica anche all'interno dell'istituto. Se viene attaccato il frontend, il sito ecc non viene attaccata la banca o il sito di votazione.

Ovviamente un sito che vota un presidente di regione non puo' certo fare un accesso con una banale password in pieno stile di un forum di alfisti che parlano del carburatore. E' il caso che preveda, per ogni accesso, un'autenticazione a 2 fattori o l'uso della smartcard che tutti possediamo.


Questo solo per iniziare. Poi nascono altre domande.
Per esempio: come possiamo essere sicuri che il voto non sia commercializzato e l'utente non e', di conseguenza, chi dice di essere o venga minacciato per. E' il motivo per il quale non si puo' portare un cello in cabina elettorale.
Il client, ovvero il pc del grillino, come possiamo essere sicuri che non sia un windoze XP full of bug & worm che voti diversamente dal grillino alla tastiera?
Per non parlare dei fessi che votano con un telefono roottato o jailbeackato.

Ovviamente queste sono solo le basi minime. 
Quali di queste sono state usate da grillo?
la risposta e' NESSUNA.

il sito e' sniffabile, non e' neppure https, non rispetta neppure le cose che ha un sito di e-commerce delle mutua che installi in 5 minuti per vendere la pepata di cozze della nonna che tanto non andra' a visitare nessuno.

E' il caso di usare un simile scolapasta per contenere dati sensibili e votare il futuro della nazione?
evidentemente no.
Se i grillini hanno pensato che questo e' il modo giusto di fare le cose e nessuno di loro si e' accorto di quanto e' follia fare una cosa del genere  e' la certificazione che i grillini sono banalmente degli idioti.
Idioti al cubo visto che dicono di essere esperti di rete.
Se questo e' un esempio come vogliono ridurre l'italia e come vogliono costruire il futuro e' un biglietto da visita impressionante.
Conseguenza naturale e' sciogliere il partito e mandarli a lavorare come manovali senza alcuna responsabilita'. Mi raccomando, non devono avere neppure la patente automobilistica, per loro e' troppo.
Fortuna che dovevano essere il nuovo. Se questo e' il nuovo comincio ad avere nostalgia dei d'alema e berlusconi.

io ho i brividi...
Voi?

4 commenti:

Enrico gi.elle ha detto...

Da quando internet ha dato voce all'opinione di persone di ogni genere e specie - cosa che per carità è legittima ma non per questo condivisibile - io comincio a dubitare di quanto sia efficace e giusto il suffragio universale.

Il diritto di voto dovrebbe essere dato come la patente, si devono superare un tot di esami teorici e pratici. Cristo santo parliamo del futuro di miliardi di persone e siamo costretti a misurarci con simili imbecilli...

Ho letto un bellisimo post su FB di Michele Boldrini sull'ignoranza inconsapevole: https://www.facebook.com/mboldrin/posts/10213391389115110

Giuspi ha detto...

Vogliamo parlare delle password, obbligatoriamente minori o uguali a 8 caratteri e salvate criptate con DES?
Mi dispiace solo di non essermi iscritto al movimento per tempo, altrimenti al prossimo giro sarei stato sicuramente in Parlamento.

blu-flame ha detto...

giuspi, se non ricordo male, in una tabella non sono neppure criptate ma in chiaro...

Anonimo ha detto...

ciao blu-flame,
è da qualche mese che ti seguo, questo è il mio primo post sul tuo blog.
questo tuo intervento mi ricorda una analisi fatta qualche anno fa da un ferrarese emigrato in terra tedesca.
Ad ogni modo dire che sono approssimativi nella gestione dei loro server significa essere generosi nei loro confronti.

Ps: prima o poi mi farò un account.