Registro elettronico violato? Date un’occhiata a quel software!

Scena del film "WarGames".

Scena del film “WarGames”.

È di questi giorni la notizia di 13 “studenti hacker” che si sarebbero alzati i voti scolastici accedendo al registro elettronico della propria scuola.

Sono molto curioso di capire come gli studenti possano essere entrati nel sistema: se abbiano usato metodi “low tech” (keylogger, ingegneria sociale sui prof., PC lasciati loggati…) oppure abbiano sfruttato vere e proprie vulnerabilità del software. Eventualità, quest’ultima, molto interessante dato che permetterebbe attacchi su più ampia scala con un minimo sforzo (e, volendo, nessuna rintracciabilità).

In attesa di ulteriori news, sono andato a vedere le release notes (note di versione, ossia le descrizioni degli aggiornamenti software) del sistema di registro elettronico più usato dalle scuole italiane, sviluppato da Axios. Ci sono alcune frasi che agli occhi di uno sviluppatore minimamente attento alla sicurezza del proprio software fanno un po’ rabbrividire, e pensare alle SQL injection come ipotetici vettori di attacco. Il testo che segue è integralmente preso dalle release notes del prodotto “Request per registro elettronico” (qui).

In Scrutini vengono controllati e rigetttati, nell’inserimento dei voti, caratteri strani tipo “\” e “/”.

Prima venivano forse interpretati?

Ora si consente di modificare la password inserendo anche lettere.

Ah, quindi prima le password erano composte solo da numeri? Speriamo che almeno fossero di lunghezza sufficiente.

Modificata funzione per accettare sia la , che il . come separatore decimale nei voti

I problemi nel filtraggio dell’input sono spesso un cattivo presagio per la sicurezza di un’applicazione…

Inserito controllo per carattere speciale ‘ in argomenti, commenti e note

Come sopra: sbagliare a parsare gli apici, in particolare, equivale ad implorare di essere bucati con una classicissima SQL injection.

In calcolo media valutazioni il + ed il – vengono considerati solo se preceduti da un voto

Anche qui: prima venivano forse interpretati?

Dulcis in fundo, la pagina di logout del registro elettronico è suscettibile ad un attacco XSS (Cross-Site-Scripting), per esempio col seguente URL:

http://www.sissiweb.it/Secret/RELogOff.aspx?Error_Desc=<b>In questo campo può essere inserito codice arbitrario, anche maligno.</b><BODY ONLOAD=alert(‘XSS’)>

Molti di voi probabilmente non visualizzeranno il popup JavaScript (qui totalmente innocuo) a causa delle protezioni anti-XSS dei browser moderni (controllate la console JavaScript): tuttavia, il codice viene “iniettato” senza problemi nel sorgente della pagina mediante il parametro dell’URL, e questa è una vulnerabilità grave.

In questo articolo ho condotto solamente un’analisi sommaria rispetto alle prime cose che ho visto: sarei deliziato se qualcuno più ferrato di me nel campo della sicurezza informatica riuscisse a trovare altre vulnerabilità nel registro elettronico.

How to block advertisements on uTorrent 1.8.6 for Mac OS X using the hosts file

2014-11-09 9 commenti

uTorrent has made advertisements unremovable with its latest release for Mac (1.8.6): they appear in the left sidebar and there’s no way to remove them, even by editing the advanced preferences.

uTorrent with ads

Luckily, we can simply block the uTorrent ad servers at system-level, editing the hosts file. Using the free network analyzer Wireshark I easily discovered which servers uTorrent connects to, to fetch the ads.

To block those ads, first quit uTorrent. Then open the /etc/hosts file with your favorite text-editor (you’ll need root privileges) and append the following lines:

# uTorrent ads
0.0.0.0 cdn.bitmedianetwork.com
0.0.0.0 static.ap.bittorrent.com

Update: if you need help editing the hosts file, please read this guide on OS X Daily.

Next, trash the ~/Library/Caches/com.bittorrent.uTorrent folder in order to get rid of any cached ads.
Now restart uTorrent, et voila: the ads are gone!

uTorrent without ads

Umberto Veronesi: “il 50% dei nostri giovani fa uso di cannabis”. Ma è vero?

Sul sito de L’Espresso, in data 7 agosto 2014, Umberto Veronesi, eminente scienziato, medico e politico italiano, pubblica un appello per la legalizzazione della marijuana in Italia.

Droga4

Tra gli argomenti a favore della legalizzazione, Veronesi scrive (grassetto mio):

Sono cifre che la dicono lunga sull’inefficacia del proibizionismo, ancor più se pensiamo che, malgrado il numero enorme di carcerazioni, si stima che il 50 per cento dei nostri giovani faccia uso di cannabis, senza calcolare il gran numero di adulti. Dovremmo considerare la metà dei nostri giovani dei criminali?

Ora, già ad una prima lettura, dire che la metà dei giovani italiani fa uso di cannabis sembra una stima davvero eccessiva, anche se si parlasse di un uso occasionale e non abituale.

Ovviamente la fonte del dato non è citata.

Andiamo a vedere i dati, dunque. Ho trovato online il REPORT GPS-ITA 2012: “Indagine sul consumo di sostanze psicotrope nella popolazione italiana 18-64 anni”, a cura della Presidenza del Consiglio dei Ministri, Dipartimento Antidroga. Fonte che dovrebbe essere affidabile, e che sicuramente non ha interesse a sottostimare il consumo di sostanze illegali.

A pagina 92 del report si trovano le statistiche sul consumo di cannabis, e nessuna di queste sembra dare ragione, anche lontanamente, alla stima di Veronesi.

Vediamo ad esempio il consumo nella popolazione generale 15-64 anni, negli ultimi 12 mesi:

Droga1

Lo studio afferma: “Circa il 79% della popolazione si stima non abbia mai assunto cannabis nella vita”. Un dato abbastanza incompatibile con la stima di Veronesi.

Però lui parlava di giovani: nella statistica generale, magari i giovani si drogano tantissimo e gli adulti pochissimo, chi lo sa? Allora vediamo i dati disaggregati per fasce d’età.

Droga2

Vero, con l’avanzare dell’età il consumo di cannabis diminuisce, ma non risulta affatto che metà dei “giovani” assuma cannabis.

Anche la seguente tabella è significativa:

Droga3Stupisce davvero l’uso disinvolto di percentuali, senza alcuna puntuale citazione degli studi, da parte di uno scienziato della statura di Umberto Veronesi.

Ricorso del Polimi sulle lauree magistrali in inglese: il Consiglio di Stato prende tempo

giustiziaIl Consiglio di Stato, esaminando il ricorso del Politecnico di Milano relativo alla sentenza sfavorevole del TAR contro la decisione di erogare tutti i Corsi di Laurea Magistrale in lingua inglese, ha deciso di non emettere una sentenza ma di chiedere prima alcuni documenti. Un mese dopo, ecco il testo dell’ordinanza.

Breve riassunto delle puntate precedenti:

  1. il Senato Accademico del Politecnico di Milano ha deliberato nel 2012 di erogare i Corsi di Laurea Magistrale solo in lingua inglese (con pure il parere favorevole degli studenti);
  2. un gruppo minoritario di docenti, non accettando la decisione, ha fatto ricorso al TAR Lombardia, vincendolo (testo della sentenza);
  3. il Politecnico di Milano ha allora fatto ricorso al Consiglio di Stato (testo del ricorso);
  4. il Consiglio di Stato ha fissato l’udienza di merito per il giorno 11 marzo 2014.

Eccoci dunque alle novità. Il Consiglio di Stato ha deciso, nella seduta dell’11 marzo 2014 (testo dell’ordinanza) di acquisire alcuni documenti e di rimandare l’ulteriore trattazione dell’appello al 25 novembre 2014.

Ecco le richieste del Consiglio di Stato.

Il Collegio ritiene necessario, al fine di decidere, acquisire agli atti la seguente documentazione, in originale o copia autentica:

  • elenco completo degli insegnamenti compresi nel corso di studi relativo alle lauree magistrali o ai dottorati di ricerca esistenti presso il Politecnico di Milano, con la specificazione di quelli per i quali è previsto l’uso esclusivo della lingua inglese e di quelli per quali sia eventualmente previsto l’affiancamento con corsi in lingua italiana;
  • relazione di chiarimenti, a firma del rettore del politecnico di Milano e del ministro appellante, necessaria ad appurare l’attualità dell’interesse all’appello, alla luce della deliberazione del Senato accademico di cui al verbale in data 20 gennaio 2014 relativa all’offerta formativa 2014-15 (dalla quale risulta che dal giorno 16 gennaio 2014, “a seguito di una modifica nell’applicativo ANVUR-MIUR per l’offerta formativa…è possibile inserire quale lingua di erogazione di un corso di studio anche la doppia lingua “italiano-inglese”” e circa i conseguenti provvedimenti adottati, in tal senso, per i singoli corsi di laurea, nonché circa la durata temporale –se condizionata, o a regime- delle stessa modificazione;
  • provvedimento di “modifica dell’applicativo ANVUR-MIUR”, con i relativi allegati anche relativi al testo dell’” applicativo” prima e dopo la modifica.

Come si era capito già da tempo, siamo nel bel mezzo di una battaglia combattuta non con argomenti relativi alla didattica e alla buona organizzazione dell’università, ma tra tribunali e carte bollate. Vedremo chi la spunterà; in ogni caso, anche se venissero annullate le linee guida decise dal Senato Accademico, i Consigli di Corso di Studio proseguiranno il proprio lento – ma inesorabile – cammino verso l’internazionalizzazione.

Attenti al bonus maturità: lettera a matteo@governo.it

Il nuovo Ministro dell’Istruzione Stefania Giannini desidera reintrodurre il bonus maturità per l’ammissione ai corsi di laurea a numero chiuso. Ho scritto un’email a lei e a Matteo Renzi, fornendo qualche ragione per non farlo.

skull_warning03

—————–

Gentile Presidente del Consiglio, gentile Ministro dell’Istruzione, dell’Università e della Ricerca,

sono uno studente di Ingegneria del Politecnico di Milano (ho 20 anni) e in passato mi sono occupato, come blogger, di ammissione ai Corsi di Laurea universitari a numero chiuso e in particolare del cosiddetto “bonus maturità”.

Il bonus maturità è stata una misura introdotta per la prima volta dall’on. Giuseppe Fioroni nel 2007-2008 (quando era al MIUR) e poi ripetutamente prorogata, tanto da trovare prima applicazione solo nel 2013. Ho ricostruito la storia del “bonus” in questo articolo.

Il problema è che in un’intervista al Corriere della Sera il Ministro dell’Istruzione, dell’Università e della Ricerca prof.ssa on. Stefania Giannini si è detta favorevole alla reintroduzione del bonus, affermando che

Non era il bonus maturità in sé, ma il fatto di aver cambiato le regole in corso, ad aver scatenato il putiferio.

Invece, in più di un articolo, io ho mostrato chiaramente come il meccanismo del “bonus” e dei percentili usati per valutare la carriera scolastica dei diplomati fosse inefficace e fonte di ingiustizie. Al di là delle posizioni – legittime e diverse – che ognuno di noi può avere sul numero chiuso, il meccanismo del bonus presenta proprio delle inconsistenze matematiche non risolubili, che non premiano affatto il “merito” dei candidati ma anzi introducono elementi di aleatorietà.

Questo è dovuto principalmente al fatto che il valore di uno stesso voto di maturità non è uguale su tutto il territorio italiano, e i tentativi di correggere questa stortura usando i percentili portano ad ingiustizie ancora maggiori.

Qui ho criticato la prima versione del “bonus” (prima che fosse “corretto” dall’ex ministro Maria Chiara Carrozza), mostrando – a partire dai dati pubblicati dal MIUR – che in alcune scuole si poteva ambire a 10 punti di bonus con un 80/100 alla maturità, mentre in altre non sarebbe bastato un 100/100 per arrivare al massimo.

Qui invece ho analizzato anche la seconda versione del “bonus”, escogitata dall’ex Ministro Maria Chiara Carrozza. Anche qui sono presenti diversi problemi e in particolare faccio notare come il destino di uno studente (ossia essere ammesso o no a Medicina, per esempio) possa dipendere non dal proprio “merito” ma addirittura dalla classe con cui si viene associati quando si sostiene l’Esame di Stato (questo sempre per colpa dei percentili).

A settembre, ho analizzato i nuovi dati pubblicati dal MIUR: il meccanismo del bonus mostra l’assurdità per cui un voto di 86/100 in un istituto professionale in media “vale” più punti di bonus rispetto ad un 92/100 in un liceo classico. Con un voto di 82/100, per esempio, il 62% delle classi di un professionale avrebbe ottenuto il bonus, mentre solo il 6% delle classi di liceo classico avrebbe ottenuto almeno un punto di bonus.

Come tutti sanno, alla fine il bonus venne abrogato dal Governo con decreto legge e in Parlamento si escogitò una “sanatoria” (emendamento Galan) per limitare i ricorsi amministrativi, che comunque si stanno tuttora abbattendo sulle graduatorie di settembre 2013.

Insomma, il bonus maturità è stato un gran pasticcio. Non credo che a voi e al vostro Governo convenga ripetere quest’esperienza.

Cordiali saluti.

Pietro De Nicolao

Email inviata a:

Wind “adegua” il prezzo di All Inclusive Digital. Ovviamente al rialzo.

2014-02-25 42 commenti

Questo pomeriggio ricevo un “simpatico” SMS da Wind:

All Inclusive Digital

Quei simpaticoni hanno infatti pensato bene di alzare il prezzo di un’offerta da me sottoscritta (All Inclusive Digital) da 5 euro al mese a 5,04 € al mese (causa aumento IVA), e poi a 7 € al mese, ovviamente senza che io chiedessi nulla.

In più, il mio piano base per le chiamate da 17,14 cent al minuto (Super Senza Scatto 2011) passa a ben 29 cent al minuto: un aumento del 69%!

Ma vediamo cosa scrivevano sulla pagina dedicata all’offerta:

Offerta All Inclusive Digital

Innanzitutto la promozione doveva durare 5 anni: io l’ho sottoscritta l’anno scorso e già me l’hanno cambiata! E poi io ho scelto di pagare 5 € al mese per 2 GB di traffico Internet, non 7 € al mese per 3 GB. Se avessi voluto, avrei scelto un’offerta più capiente: vorrei che le mie decisioni venissero rispettate.

Cose buffe e terribili – Spotted: Polimi

Leggendo questa spottata (link originale) da parte di un anonimo collega ho avvertito un attimo di disagio.

SpottedPensieri in ordine sparso:

  1. non esulterei per un 23 in Analisi 1;
  2. la definizione di successo o insuccesso dipende dagli obiettivi che ci si pone;
  3. la teoria è importante, specie in matematica;
  4. un po’ però il tizio lo capisco;
  5. gli esami sono come una droga.

 

 

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 840 follower

%d blogger cliccano Mi Piace per questo: