Diversi anni fa, gestivo un browsergame in PHP da me realizzato, Wardrome, il codice “PHP Spaghetti” era indegno, ma funzionava e faceva giocare migliaia di persone.

Il software girava su un server dedicato “gigaserver” di un’azienda tedesca: tutto filava a meraviglia.

Sul server Debian, non avevo curato con grande attenzione la sicurezza: probabilmente se attaccato da una persona competente avrebbe subito una debacle immediata.

Ma per gioco avevo creato un servizio divertente: sulla porta 22

“Please come in!” l’avevo scritto in PERL, ascoltava la porta 22 (sulla quale non c’era il servizio ssh come di consueto) simulando il login standard di Linux.

Dopo un numero random di tentativi infruttuosi, l’attaccante veniva lasciato entrare e poteva lanciare liberamente comandi finti e veri, su un ramdisk.

Io mi divertivo a guardare i log di gente improvvisata che, convinta di essere nel server del gioco, cercava dove fossero i file e il database e come funzionasse.

Dai log imparavo i comportamenti e miglioravo il ramdisk, aggiungendo altri finti file e finte directory per rendere il gioco (il mio gioco) più appetibile con i malcapitati lamer.

Ci inserii perfino degli scherzi e degli insulti non proprio edificanti.

Questo aneddoto però, mi fa riflettere su quanto, pur non sapendone niente di cybersicurezza, mi fossi a mio modo impegnato per gestirla in modo creativo ed alternativo.

Ogni giorno invece leggo notizie di falle di sicurezza enormi, di sicurezza completamente tralasciata, di incuria.

E mi dispiace, spero sempre che almeno nell’ambiente IT, tutti facciano il lavoro con serietà e dignità.

Riflettiamoci.