E’ un fatto noto che la quasi totalità delle persone che lavorano nel magico mondo dell’IT siano semplicemente degli azzeccagarbugli o, utilizzando un termine poco appropriato ma immediato, degli smanettoni. Sia i fornitori quanto i clienti davanti ad un computer perdono ogni freno inibitorio e pensano di poter fare tutto quello che vogliono. Salvo poi accorgersi di poter fare solo quello che sanno e che nella maggior parte dei casi quello che sanno è praticamente niente.
Così, ad esempio, quando $Lamer mise mano alla sala calcolo di $Azienda_in_perdita, dismise un magnifico Pix della Cisco per metterci uno scalcinato Midtower al suo posto (con un secondo midtower spento e scollegato per fare, a detta sua, l’alta affidabilità ) e la spiegazione ufficiale fu che il firewall è un casino da configurare perchè non ha neanche la GUI. Il risultato di questa operazione (e in verità molte altre altrettanto poco felici) fu che una struttura da anni perfettamente funzionate come un orologio svizzero ora non lascia passare un solo giorno che iddio manda in terra senza un problema di rete. Improvvisamente fare una telefonata in VoIP, navigare su internet, ricevere e mandare email sono vere e proprie imprese. Quando qualcuno cominciò a lamentarsi dei continui disservizi, $Lamer senza fare una piega diede la colpa ad uno dei provider di connettività .
L’esternalizzazione del processo di fallimento è un’attività molto comune nel mondo dell’informatica ma in realtà è una caratteristica saliente penso di tutti gli esseri viventi. Si comincia da bambini, quando inavvertitamente rompi un oggetto di valore senza essere visto e, interrogati, si da la colpa al gatto, alla governante, a qualcos’altro. Da adulti si arriva a dare la colpa alla sfortuna, al precedente (o attuale) fornitore, fino ad arrivare ad intere nazioni colpevoli di non ruotare correttamente posta (cit. IT Manager bravissimo).
Un sottoinsieme di esternalizzatori è costituito dai complottisti, ovvero coloro che nascondono la propria ignoranza con la teoria, generalmente poco verificabile, che qualcuno (non si sa bene chi) ce l’ha con te e i tuoi sistemi.
E questo è anche il caso di $Stordito_professionale.
$Stordito_professionale rappresenta il primo (e al momento unico) cliente che fu palesemente scontento della nostra struttura. La cosa mi lasciò perplesso per svariati motivi tra cui il fatto che arrivasse da Aruba, azienda non esattamente leader nella qualità dei servizi erogati. Inoltre nella sua email di accomiato mi rinfacciò i numerosi problemi della struttura segnalati. Andandomi a vedere tutti i ticket aperti da $Stordito_professionale, trovai la bellezza di DUE segnalazioni nell’arco dell’intero anno. La prima relativa al fatto che sbagliò a settare il numero massimo di connessioni FTP, lanciando un upload con 800 connessioni (e qui i sistemi in effetti se la possono prendere ma, direi, con ragione). Il secondo errore fu una query bloccata dal nostro sistema di sicurezza e che non ebbi neanche il tempo di guardare bene perchè un paio di ore dopo $Stordito_professionale chiese il trasferimento del dominio, scrivendomi che nel suo lavoro contano i fatti.
E così riportò tutto su Aruba.
Mi collegai al suo sito meno di un mese dopo e, siccome contano i fatti, notai un bell’Internal Server Error al posto della home page. Lasciai passare un paio di ore ma poi gli segnalai cordialmente il fatto Venerdì mattina, il giorno dopo mi rispose che non se ne era neanche accorto e che avrebbe contattato l’assistenza di Aruba. Quest’ultima, siccome contano i fatti, rimise tutto a posto dopo appena quattro giorni di down completo del sito.
Dopo un periodo di silenzio mi accorsi nuovamente di lui da un post su Facebook nel quale si lamentava dell’ennesimo attacco informatico di parte dei siti da lui gestiti. Andando a vedere nel dettaglio la lamentazione nella quale addirittura si chiedeva retoricamente chi avesse paura delle associazioni vittime dell’attacco, lessi con curiosità la sua teoria del complotto: visto che è la quarta volta che mi piallano i siti allora è un attacco mirato. Un po’ curioso cominciai a scavare partendo da un JS crittato, aggiunto di straforo alla pagina di attesa (statica) assemblata al volo $Stordito_professionale. Arrivai alla conclusione che non era affatto un attacco mirato ma piuttosto un attacco molto comune e che già avevo avuto modo di vedere. In pratica si sfrutta una vulnerabilità di un componente di $Noto_cms_di_Stordito_professionale per eseguire una bella iniezione di qualcosa di non bello. Un attacco del genere causò il defacing di un mio sito un trilione di anni fa (ospitato… indovinate dove). La colpa, oggi come all’epoca, era di un Plugin di quel cesso di CMS che era piuttosto bacato e aveva vulnerabilità note. Se chi gestisce il sito non ha la cura di aggiornare periodicamente i vari componenti, ecco che la frittata è fatta.
Ovviamente la mia segnalazione rimase senza una risposta e i siti rimasero down finchè non vennero ripristinati con comodo da un backup molti giorni dopo.
In fondo chi se ne frega di una struttura sicura, nel nostro lavoro contano i fatti.