Navigando tra le pagine del sistema di gestione e prenotazione si ha però, subito la sensazione che gli sviluppatori abbiano completamente omesso le più elementari regole in materia di privacy e sicurezza.

Privacy

Il sito è navigabile da chiunque, questo vuol dire che qualunque computer connesso a internet è autorizzato a a sfogliare tutte le pagine in cui non vi sia un’esplicita richiesta di un PIN a 6 cifre (PIN di cui parleremo più avanti). Partiamo, ad esempio, dalla pagina iniziale e spostiamoci sulla pagina delle prenotazioni, il sistema dopo averci chiesto, quando e cosa volessimo prenotare (palestra,squash,tennis) ci manda alla pagina di identificazione, dove attraverso l’inserimento di un PIN, possiamo identificarci e procedere con la prenotazione. Notiamo però che nella stessa pagina un tasto Non Socio ci permette comunque di andare avanti. Evidentemente è data la possibilità anche ai non-tesserati di prenotare la struttura. Benissimo. Il problema arriva quando un non socio decide di prenotare un campo da tennis; una volta cliccato su NON SOCIO, infatti, ci viene chiesto di scegliere il nostro avversario, che deve essere per regolamento un socio. NB che fino ad ora tutte queste operazioni sono state fatte senza dar la ben che minima referenza, ossia nell’assoluto anonimato. Arrivati alla schermata di selezione dell’avversario ci troviamo di fronta alla lista completa (NOME e COGNOME) degli iscritti.

Vanna Marchi, furti di identità e telemarketing
Il proprio Nome e Cognome può non sembrare un dato così importante e segreto, dopotutto la maggior parte delle persone è presente su elenchi telefonici, ha il nome scritto fuori dalla porta di casa e così via. Verissimo, in questo caso però il vostro nome, oltre che essere ben accessibile e visibili a tutti, è abbinato ad un informazione in più, attualmente siete soci di un circolo sportivo, praticate attivamente tennis o squash e con estrema probabilità siete adulti e con una qualche tipo di disponibilità economica.

Questo genere di informazioni ha un valore economico per tutte quelle persone che fanno della vendita porta a porta (via telefono, posta, email o quant’altro) la loro fonte di sostentamento. Poter offrire prodotti mirati come la vendita di attrezzature sportive o indumenti tecnici o prodotti per il benessere e il body building ha un valore aggiunto altissimo, tutto a scapito della vostra privacy.

Questo però è il minimo che possa succedervi, un criminale potrebbe impadronirsi della vostra identità per commettere reati o frodi la cui colpa poi andrebbe a ricadere su di voi. Per non mi dilungarmi troppo vi invito a leggere questo articolo su wikipedia riguardante i furti di identià.
Vi chiedo però: Se un giorno una persona vi chiamasse, e con tono familiare vi dicesse di essere del circolo, e che il sistema dei pagamenti ha avuto un problema, prelevandovi più soldi del dovuto; ma stanno sistemando tutto e gli serve solo il numero della carta di credito con cui avete effetuato il pagamento per potervi stornare la differenza; come rispondereste? Dopo tutto è plausibile, e se 8 su 10 di voi preferiranno andare al circolo di persona, ci saranno (statisticamente) 2 persone che si fidereanno…

Soluzioni
La prima soluzione è che i non soci semplicemente non possano prenotare campi. Dopo tutto se per prenotare è comunque obbligatorio scegliere un avversario socio, tanto vale che sia lo stesso socio a farlo. Se proprio non si vuole impedire ai non soci di prenotare almeno si chieda loro di inserire il numero di tessera del socio da sfidare invece che fargli scegliere da una lista di nomi e cognomi di cui per inciso il 90% saranno perfetti sconosciuti.

to be continued… i problemi come avrete capito non sono finiti qui, privacy e sicurezza vanno a braccetto, senza una l’altra è compromessa, e anche sotto il profilo della sicurezza cognola.it lascia molto a desiderare…

Ho creato questa piccola utility che altro non fa che inviare una serie di dati (i campi del form di votazione) ad una pagina di elaborazione (la pagina che di solito vi comunica la corretta votazione, oppure che vi informa che già avete votato) per un considerevole numero di volte.

L’uso del programma è estremamente intuitivo, si inserisce in starturl l’indirizzo del sondaggio in desturl la destinazione ossia l’url di elaborazione  quindi  si aggiungo i campi che si vogliono passare attraverso il tasto add e i campi name and value  e una volta scelto il numero di voti da inviar si preme su start. E’ anche possibile salvare o caricare una configurazione attraverso i tasti load e save. That’s it!

Come fare a conoscere tutti questi campi? Per conoscere i campi bisognerà andare a vedere il codice sorgente della pagina web che contiene il sondaggio, andando a cercare quello che è compreso tra i tag <form></form>. la chiave action contiene l’url di destinazione mente tutti i tag input contengo un valore name e una valore value che sono i dati che vanno inseriti con il tasto add.

So che queste indicazioni possono sembrare un po fumose ma ho preferito non essere troppo specifico per impedire che chiunque possa fare un cattivo uso di questo tool, che ha il solo scopo di dimostrare che il prendere come verità statistiche i sondaggi on-line (ma il discorso può essere esteso anche agli altri)  come si fa oggi, non ha veramente senso.

Scarica PollIT - Richiede il FrameWork .Net 2.0 o superiore (liberamente scaricabile dal sito Microsoft)

Chi parlava di hacking, chi di normale spostamento dei voti, chi di imbrogli da parte della redazione del Corriere. Possiamo confermare da fonti quasi certe che si è trattato di un semplice bombardamento di voti fake.
Come funziona?

Il principio è molto semplice, ogni qual volta un utente effetua una scelta di voto il sito del corriere.it deposita nel computer un file, comunemente chiamato cookie, che avvisa il sito che quel computer ha già effettuato una scelta e che pertanto non sono ammessi ulteriori voti. Il trucco sta, una volta effettuato il voto, nel cancellare, attraverso le impostazioni del broswer, il cookie. Non c’è quindi alcun tipo di hackeraggio ma solo lo sfruttamento di una debolezza intrinseca nel sistema di voto di corriere.it

50K voti in meno di un ora?
Si potrebbe obbiettare che se è vero che è questo il metodo, chi lo ha fatto deve essere un essere sovraumano per ripetere questa operazione 50K volte in meno di un ora. Verissimo, il problema è che questo non è stato fatto da un operatore umano ma da un programma scritto ad hoc, il programma in questione è in grado di generare circa 15/20 voti al secondo, arrivando cosi a spostare velocemente l’ago della bilancia da una parte all’altra.

esempio di vote bombing

Soluzioni?

Di soluzione per ovviare a questo problema ce ne sarebbero parecchie ognuna con i propri pro e contro, vi riportiamo quelle più utilizzate.

Conclusioni

Al probelma dei voti fake è chiaro che non esiste una soluzione perfetta e ritengo che tutto sommato il metodo utilizzato ora sia ancora il più efficace, tuttalpiù che questo genere di voti fasulli è facilmente identificabile e possono quindi essere rimossi con tempestività dagli amministratori del sito.