La coabitazione è sempre un rischio, anche in informatica. Anzi, soprattutto in informatica, perché se si ha l'imprudenza di affidare il proprio sito a chi lo mette in "coabitazione" sul server insieme ad altri siti senza prendere le opportune precauzioni, può bastare una falla in uno dei siti "coinquilini" per dare accesso all'intero sistema e quindi anche alle pagine Web degli altri siti.

E' quello che è successo a un server appartenente a uno dei più grandi gruppi editoriali siciliani, che ha messo a repentaglio circa 150 siti in co-hosting.

Tutto inizia da una provocazione banale: un battibecco in chat fra un giovane smanettone e autore di libri d'informatica, il quindicenne Salvatore Aranzulla, e una persona che chiamerò Francesco (non è il suo vero nome). Salvatore analizza il sito del provocatore con gli strumenti pubblicamente disponibili in Rete e si accorge che è ospitato da un editore siciliano e che usa il software open source dBlog 1.4. Il server gira usando Microsoft Internet Information Server (IIS).

Fra i file del server ci sono quelli di tutti i siti ospitati (sono oltre 150). Salvatore crea una pagina Web di prova sul server e verifica che è visibile dall'esterno. In altre parole, a questo punto chiunque avrebbe potuto alterare tutti i siti ospitati, nel più classico dei defacement di massa.

Ma Salvatore non è il tipo da defacement, per cui cancella il file creato e si precipita ad avvisare l'editore che il suo sito ha una falla gravissima. Ha lasciato intatti i log in modo da rendere chiara la facilità della tecnica di intrusione utilizzata, e nell'andarsene dal sito ha riparato la falla usata per penetrarlo. Ma ne restano altre.

L'errore di configurazione del server, racconta Salvatore, è "imperdonabile", perché rivela l'"assenza di limitazioni da parte di IIS (che è stato configurato male) e la presenza di permessi di scrittura/modifica/eliminazione ovunque". Prassi purtroppo assai diffuse, perché la gestione corretta dei permessi è un fastidio che intralcia il lavoro, e così si permette tutto a tutti per non tribolare. La conseguente facilità con la quale è avvenuta l'intrusione è molto educativa.

La storia ha anche un ulteriore lieto fine, che poteva anche non esserci, visto che l'intrusione informatica, anche se fatta a fin di bene, rimane comunque un reato e quindi il titolare del sito avrebbe potuto inguaiare seriamente il giovane Salvatore. Invece non se l'è presa (forse anche perché la sua figuraccia non è stata resa pubblica con nomi, cognomi e ragioni sociali degli interessati), ma anzi ha ringraziato Aranzulla per l'aiuto; un gesto lodevole e insolitamente sportivo, visto che non è facile reagire con garbo quando un quindicenne dimostra di saperne più del responsabile del sito.

Il problema, in casi come questi, è che in realtà bisogna resistere alla tentazione di intervenire, limitandosi a segnalare ai titolari l'esistenza della falla. Ma molto spesso queste segnalazioni vengono ignorate, e allora ci si trova di fronte al dubbio: lasciare il sito vulnerabile o intervenire, violando la legge, per prevenire un disastro?

La risposta non è semplice, anche perché se poi il server subisce un defacement, è facile che i primi sospetti cadano proprio su chi innocentemente ha segnalato la falla e quindi aveva perfetta conoscenza di come commettere l'atto vandalico.

L'intera vicenda, con le schermate e i dettagli dell'exploit, è sul sito di Salvatore Aranzulla.