Skip to Content

Tuesday, September 17th, 2019

Mentre pubblicizza tesi a pagamento, ANVUR dichiara: «nuovo server aggiornato e sicuro, non presenta vulnerabilità»

Closed
by April 23, 2017 General

«È stato predisposto un nuovo server aggiornato e sicuro; è stata installata l’ultima versione del software di gestione dei contenuti che al momento non presenta vulnerabilità; è stato installato un software aggiuntivo che controlla l’integrità del sistema a vari livelli ed è in grado di bloccare eventuali attacchi». Intervistato da OggiScienza, il Direttore dell’ANVUR Sandro Momigliano risponde in questo modo a chi gli domanda quali provvedimenti siano stati presi per difendere il sito dell’Anvur dalle intrusioni in atto da diversi mesi. Tutto finalmente sotto controllo, allora? Non proprio. Basta curiosare un po’ sulle pagine del sito dell’agenzia e ci si imbatte in un “best essay writing service” con tanto di link al sito writemypaperinca.com dove la domanda «What is Writemypaperinca.com and why pay to write my paper?» trova una risposta molto chiara: «Creative writing can be tough. Tired of essay writing? Get speedy help with your assignments». Il servizio a pagamento risolve i problemi di chi deve svolgere compiti a casa, scrivere articoli, tesi e persino articoli scientifici. Potrebbe essere interessante commissionare la scrittura di una tesi sulla sicurezza informatica dei siti web e anche quella di un manuale su come gestire un’agenzia di valutazione.

Con questo articolo inauguriamo la rubrica “Il nostro spamvur quotidiano” dedicata al censimento dello spam anvuriano.

Precedenti articoli sullo stesso argomento:

Il 18 aprile, poche ore dopo la pubblicazione su Roars dell’articolo che segnalava la presenza di uno scipt maligno che registrava il profilo degli utenti e lo inviava ad un sito sospetto a Singapore, l’ANVUR ha messo nuovamente fuori servizio il suo sito web lasciando in vista solo questo laconico messaggio:

Il sito è tornato in funzione il 20 aprile. Come ci informa la stessa agenzia, funzionalità e grafica non sono ancora definitive:

La manutenzione straordinaria effettuata sul sito ANVUR ha comportato l’aggiornamento del software di gestione dei contenuti e della grafica. Ne sono derivate modifiche nella visualizzazione del sito e possibili difficoltà nella navigazione interna, che speriamo di risolvere in tempi molto brevi. Ci scusiamo per gli eventuali disagi.

Per saperne qualcosa  di più, si può leggere l’intervista di Michela Perrone a Sandro Momigliano, Direttore dell’ANVUR, apparsa sul blog di OggiScienza:

Hacker contro il sito Anvur: “Nessun rischio per i dati”

Correttamente, viene ricordato che  il sito dell’agenzia «è stato oscurato per 17 giorni, dal pomeriggio di lunedì 3 aprile fino al 20 dello stesso mese, con una fugace apparizione nella giornata di martedì 18». Viene anche ripresa la preoccupazione, manifestata da Dario Braga (Anvur tra manipolazione e troppi parametri, Sole 24 Ore, 12.04.2017) che le “attività sospette di alterazione dei contenuti” (così le aveva definite l’ANVUR) riguardassero il database delle valutazioni della ricerca. Un’eventualità esclusa da Momigliano, secondo il quale «È una paura infondata perché sul nostro sito non ci sono informazioni sensibili, che sono invece conservate nei server del Cineca».

Desta perplessità il tentativo di attribuire la responsabilità del disservizio alla carenza di fondi:

Tutti i siti web sono vulnerabili e come agenzia pubblica abbiamo risorse limitate da dedicare alla sicurezza informatica, che comunque abbiamo potenziato

A suo tempo, avevamo mostrato che il bilancio 2014 dell’agenzia destinava più di un milione e mezzo di euro, ossia più del 10% delle uscite totali, a “esperti di elevata professionalità”, riservando più di 110.000 Euro per “esperti”  nei servizi generali.

Le rassicurazioni di Momigliano proseguono così:

Sul sito Anvur non esiste un’area riservata in cui sono conservati documenti privati, è tutto in chiaro [talmente in chiaro che nel 2014 su 92 delibere ne erano state rese pubbliche solo tre, NdR]. In questo senso il problema è relativo: trattandosi di materiale riproducibile e di dominio pubblico l’attacco non ha creato danni da questo punto di vista”.

Michela Perrone blocca Momigliano, facendogli notare che «Venerdì 21 aprile sul sito Anvur compariva però la dicitura “Area Riservata”» [abbiamo verificato anche noi e, come vedete qui sotto, la dicitura “Area Riservata” che compare in home page rimanda alla maschera di accesso all’area stessa, con tanto di recupero password, NdR].

Il Direttore dell’Agenzia ha la risposta pronta:

Per il nuovo sito abbiamo usato un template standard che i nostri tecnici stanno provvedendo a ripulire e personalizzare. La scritta che compare sarà eliminata nella versione definitiva del sito”, assicura il direttore generale.

In molti si saranno domandati chi abbia la responsabilità della sicurezza informatica del sito ANVUR. Cosa dice Momigliano?

Nel mese di gennaio abbiamo affidato a una società di Pisa, la Informatica Umanistica Srl, l’incarico di un restyling grafico e un aggiornamento del sito. Dopo quanto accaduto, abbiamo chiesto loro di seguire anche la parte della sicurezza informatica e questo è quanto sta avvenendo.

Rimane oscuro chi seguisse in precedenza la sicurezza informatica e se la società incaricata del restyiling abbia le competenze necessarie, visto il fermo, durato più di 15 giorni.

Di particolare interesse la risposta del Direttore ANVUR alla domanda “L’ipotesi della presenza di uno script che profila i visitatori è reale?“. Come ricorderanno i nostri lettori, Pietro De Nicolao, non solo aveva individuato lo script nella home page dell’agenzia, ma lo aveva dissezionato, giungendo alle seguenti conclusioni:

sul sito di ANVUR c’è uno script di terze parti (spammer, a giudicare dal profilo di VirusTotal), che:

1. profila i visitatori in base alle informazioni fornite dal browser e dalla connessione

2. visualizza delle pubblicità, i cui profitti probabilmente andranno nelle mani degli spammer

3. imposta un cookie di terze parti sul browser dell’utente

Ecco la risposta di Momigliano:

Durante la navigazione sul web ogni utente è profilato, a partire dalle ricerche su Google per arrivare alla navigazione all’interno del sito. Per questo motivo, con questo intervento, è stato innalzato il livello di sicurezza del sistema per impedire a eventuali terze parti di accedere al nostro sito a nostra insaputa.

Una risposta che elude il cuore della domanda: lo script era presente o no? È pure sconcertante che di fronte ad una profilazione eseguita da terze parti attraverso uno script maligno che invia i dati ad un indirizzo IP sospetto, si sposti il discorso sulla pervasività dei tentativi di profilazione. Possibile che Momigliano sia all’oscuro della “cookie law” prescritta dal Garante della Privacy? Riguardo all’innalzamento del livello di sicurezza, Google non se n’è ancora accorto. Ancora oggi, se cercate “www.anvur.org” su Google, venite avvisati che il “sito potrebbe essere compromesso”.

 

E per il futuro?

È stato predisposto un nuovo server aggiornato e sicuro; è stata installata l’ultima versione del software di gestione dei contenuti che al momento non presenta vulnerabilità; è stato installato un software aggiuntivo che controlla l’integrità del sistema a vari livelli ed è in grado di bloccare eventuali attacchi.

Tutto risolto insomma? Proviamo a controllare

Abbiamo curiosato un po’ sulle pagine del sito dell’agenzia e abbiamo trovato un “best essay writing service” con tanto di link al sito writemypaperinca.com dove la domanda «What is Writemypaperinca.com and why pay to write my paper?» trova una risposta molto chiara: «Creative writing can be tough. Tired of essay writing? Get speedy help with your assignments». Il servizio a pagamento risolve i problemi di chi deve svolgere compiti a casa, scrivere articoli, tesi e persino articoli scientifici.

Potrebbe essere interessante commissionare la scrittura di una tesi sulla sicurezza informatica dei siti web e anche quella di un manuale su come gestire un’agenzia di valutazione.

Previous
Next