skip to main | skip to sidebar
87 commenti

Due parole sulle vulnerabilità di Rousseau

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/08/08 23:45.

Non mi dilungo sui dettagli tecnici della questione Rousseau che è divampata nei media generalisti: li ha già raccontati egregiamente David Puente in una serie di articoli. Segnalo solo alcuni fatti che forse sono stati poco evidenziati o volutamente confusi.

- Il primo “attacco” non è stato un attacco, ma ha segnalato responsabilmente in privato a Rousseau alcune sue vulnerabilità e le ha pubblicate online solo dopo che erano state corrette. Vulnerabilità, fra l’altro, equivalenti a mettere una serratura di cioccolato sulla porta di casa: limite massimo di 8 caratteri per le password e un banalissimo SQL injection, talmente classico che c’è persino la vignetta di Xkcd apposita (spiegone).


- Non è vero che le informazioni pubblicate su queste vulnerabilità sono state rimosse perché Rousseau o altri hanno preso delle “contromisure”. Beppegrillo.it scrive che “il suo sito [quello del segnalatore] è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. No. La riservatezza professionale mi impedisce di dire altro, ma la chiusura degli account del primo segnalatore non è merito di alcuna “contromisura”. Tant’è vero che gli account sono tornati online. Bullarsi di quello che non si è fatto è boriosamente stupido, per non dir di peggio.

-- L’incursione non ha richiesto talento speciale. Non stiamo parlando di forzare chissà quali ostacoli. Questo era un castello costruito col fango che non ha retto all’uso di un innaffiatoio; è l’equivalente di lasciare la porta di casa socchiusa e i gioielli in bella vista sul tavolino all’ingresso.

-- Lo stesso post su Beppegrillo.it dichiarava che Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.” Beh, mica tanto e di certo non tutte, dato che qualcun altro è riuscito comunque a entrare subito dopo.

-- Il successivo furto di dati vero e proprio (quello rivendicato da r0gue_0) ha rivelato che Rousseau non ha preso neppure le misure di sicurezza più basilari. Per l’amor del cielo, le password degli utenti erano conservate in chiaro in un database. Lo sanno anche i muri che le password si custodiscono in modo crittografato tale che neanche il gestore del sistema possa decifrarle (hashing e salting), proprio per evitare i danni di massa causati da attacchi come questo. In questo modo, se vengono rubati i dati, perlomeno non sono leggibili (o è enormemente oneroso leggerli).

-- Chi minimizza dicendo che tanto non erano in corso “votazioni” non ha capito la gravità degli eventi oppure sta volutamente mettendo la testa nella sabbia. Evidentemente non ha considerato che comunque l’affiliazione politica è un dato delicato e personale e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali. E non ha considerato che la fiducia degli utenti è stata tradita: non stiamo parlando del sito di un circolo di cucito, ma della piattaforma di gestione di uno dei movimenti politici più significativi di un paese. Se questo è il modo in cui si pensa di gestire la democrazia digitale, è meglio lasciar perdere e trovare qualcuno che ci capisca.

-- Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica. Un sistema operativo è del software che dialoga con l’hardware e fa da interprete e servitore per le applicazioni. Windows, Android, MacOS, iOS, Linux sono esempi di sistemi operativi: Rousseau no. È un sito, un portale, una piattaforma gestionale, ma non un sistema operativo. Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile.


Se volete altre opinioni sulla sicurezza di Rousseau, date un’occhiata a questo articolo su Formiche.net e a questo su Il Post.


2017/08/08 16:20. Rousseau protegge le password con un sistema preistorico che si supera in dodici secondi, secondo questa analisi.

2017/08/08 23:45. Ho aggiornato per chiarire il concetto di crittografia dei dati.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (87)

Il 'limite massimo di 8 caratteri per le password' è ancora li ...
Hai un post sullo hashing delle password (e non solo delle password)? Se non ce l'hai ancora, forse vale la pena spiegare questa cosa ai non informatici, con tanto di link a http://plaintextoffenders.com/
sono un convinto sostenitore del M5S ma questo evento secondo me bene esemplifica l'aspetto più deludente (e preoccupante) del movimento. Pressappochismo arrogante. Ma come cavolo si fa..... mi dio siamo nel 2017... a gestire un sistema con quelle ambizioni in questo modo. Voglio credere che la presa su temi più seri (ma questo è già bello serio!) sia più cauta e consapevole.

Paolo, Rousseau è un sistema operativo nel senso filosofico del termine: nel sistema Stato consente all'utente (cittadini) di disporre dell'hardaware (risorse) e del software (servizi, compresi i servizi di sistema come l'apparato gestionale).
Le password erano in chiaro? veramente?
Paolo, l'argomento delle fantomatiche "contromisure" prese da Grillo & Co. mi interessava particolarmente, quindi ti ringrazio per chiarito (seppur con i limiti da te citati) la questione.

Per il resto, rimango basito anche io di come non siano state adottate le più elementari norme di sicurezza informatiche; mi aspetto a breve più di qualche denuncia da parte degli utenti e dagli ex appartenenti al movimento, i cui dati saranno sicuramente ancora dentro il DB.

Confesso, invece, di non aver voluto approfondire in passato la questione "Sistema Operativo Rosseau"; ricordo gli annunci pomposi di questa nuova piattaforma e pensavo ingenuamente che fosse una distribuzione custom di Linux...
Non so come possano succedere cose del genere in un partito (pardon, MOVIMENTO) dove l'informatica, l'essere on-line è il suo spot, dove si dice che tutto deve essere libero e condiviso "a disposizione" e poi fanno queste porcherie, ma mettere delle persone COMPETENTI a gestire questi database no?!? Hanno perso parecchi punti per quel che penso io.
Caro Paolo,il tuo articolo non fa una piega, il problema sono i "fruitori" di "Russó": le loro uniche fonti di informazione sono Beppe Grillo.it tzetze, compagnia bella e Facebook. Quindi le spiegazioni di Grillo & co. mettono il punto sulla questione: siamo stati attaccati dai poteri forti, ma con le nostre contromisure ci siamo difesi e abbiamo vinto!!1!1!!
Non ha mai scritto una riga sua. Forse nemmeno sul blog.
https://www.nextquotidiano.it/wp-content/uploads/2016/12/grillo-abuso-credulit%C3%A0-popolare-3.gif
Sul discorso chiusura degli account Matteo Flora ne fa un accenno nel video-commento all'accaduto: https://www.youtube.com/watch?v=qLi9gkYZMEw
Anche l'articolo su formiche.net parla di sistema operativo: "A mandare in palla il sistema operativo sono stati gli hacker...".
Andiamo bene.
Che cazzo di senso ha porre un vincolo sulla password che ne DIMINUISCE la sicurezza? Di solito si mette un vicolo per AUMENTARLA!
Certo che, se la Casaleggio Associati si occupa così di strategie digitali, Dio ce ne liberi. Bel danno di immagine!
Matteo flora fa un altro ottimo spiegone: https://www.youtube.com/watch?v=qLi9gkYZMEw&t=337s

Sinceramente, indipendentemente da come procederà anche il rapporto AM5S con GPDP in relazione agli adempimenti post Data Breach ex Art.32-bis del Codice in Materia di Protezione dei dati personali, si auspicherebbe comunque che gli utenti della piattaforma - invece di minimizzare/ignorare & bollare le segnalazioni - provvedessero in primis al cambio password (su tale piattaforma e altre dove sia presente), implementando anche la verifica 2FA.
.
L'articolo odierno di Antonio Sanso e evariste.gal0is su blog (dot) intothesymmetry (dot) com sulla vulnerabilità delle password ribadisce quanto già noto ed alla base del Data Breach, cioè le scelte cinofalliche di mantenimento di una versione obsoleta / non-patchata di Movable Type (da cui conseguono anche le varie vulnerabilità XSS e SQL, sotto lenta mitigation solo da domenica) e la totale assenza di qualsivoglia minima verifica dello stato di protezione in base ai metodi/protocolli usati per cifrare le password.
[...] e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali.

Su questo Beppe Grillo non deve aver paura. Praticamente nessuno, e non mi riferisco ai soli militanti del M5S, fa questo tipo di ragionamento, quindi, nessuno si sognerà di accusare Beppe Grillo se gli hanno violato qualche suo account.

Quando mi è capitato di segnalare un attacco con furto di password e ho consigliato di cambiare le password degli altri account, se erano uguali a quelle trafugate, mi sono sentito rispondere una combinazione delle tre seguenti "opzioni" :

- Tanto che vuoi chge se ne facciano della mia posta;
- Tanto per la banca ho il token: nessuno entra senza il mio token;
- non so come si cambia la password oppure ho paura di cambiare la password: quando ci ho provato non sono riuscito più ad entrare.

Se poi dico che ho PASSWORD DIFFERENTI per account differenti mi danno del paranoico :-)
In http://blog.intothesymmetry.com/2017/08/analisi-dei-dump-di-rousseau-movimento.html si puo' leggere come le password in Rousseau sono salvate criptate un alogirtmo risaltente al dopoguerra e palesemente rotto di nome DES https://it.wikipedia.org/wiki/Data_Encryption_Standard risalente agli anni 70
...ci sta essere un movimento giovane che deve imparare, a parte che su questi aspetti pensavo che la Casaleggio Associati fosse un filino più avanti, ma la cosa preoccupante del M5s è non ammettere mai l'errore, accusare sempre gli altri, quasi una setta...
Dovrebbero assumere 15 tecnici competenti, pagarli e fargli mettere a posto la cosa, se non è troppo tardi...
Ma dove finiscono tutti i soldi recuperati dai vari siti?
Mi permetto un'osservazione un po' tecnica.
Le password, come consigliato dal NIST, non dovrebbero essere solo cifrate bensì "digerite" da un algoritmo di hashing crittografico e "salate" in modo da essere resistenti agli attacchi online. Purtroppo, sembra che questi non abbiano mai nemmeno pensato ai problemi di sicurezza.
Voto MoVimento, ma sono molto delusa da questa storia e da come è da loro gestita.
Danno d'immagine, danno alle cose buone del MoVimento, danno verso noi utenti, tutti i ns. dati... Come possiamo confermare la fiducia sul piano tecnico? Come pensano di riparare???
Linux non è un sistema operativo, è il kernel.
@Davide
Non capisco cos'è un sistema operativo in senso filosofico.
E,poi, che c'entra l'hardware?
Le risorse che Rosseau offre sono risorse software
L'hardware, che non ha nulla a che vedere con il sistema operativo, è, come si suol dire, ciò che puoi prendere a calci.
Qui da prendere a calci sarebbero gli amministratori.
In senso filosofico possono essere intesi come hardware.
Non sono sicuro al 100%, ma secondo questo articolo la codifica delle password non era in chiaro ma era basata sul sofisticato algoritmo SWG4, usato anche da Zip War Airganon. (Creato da un ex programmatore di Volunia). http://www.emawebdesign.com/2013/03/20/beppe-grillo-swg4-e-zip-war-airganon-ecco-come-scaricare-il-misterioso-software-forse/
Torneranno a votare per alzata di mano, riuniti in un teatro.
Voto palese, e passa la paura dell'hacker cattivo.
Che dire, dilettanti allo sbaraglio e non solo in Parlamento...
Su BeppeGrillo.it le password sono salvate in "chiaro", su Rousseau quasi (usano Crypt(3), che "resiste" ben 12").
@Gareth Jax
Prima di linkare articoli sarebbe meglio leggerli...

Comunque è una bella gatta da pelare per i gestori del sito visto che non hanno adottato neanche le misure minime di sicurezza (e quindi si va nel penale, in aggiunta al risarcimento danni).
Hackerato o no, vince o no, preparato o no, amministra o no, incontri segreti o no ....

M5S è l'unico che attua idee e proposte a favore dei cittadini




Dal sito beppegrillo.it: Rousseau è il sistema operativo del MoVimento 5 Stelle.
I suoi obiettivi sono la gestione delle varie componenti elettive (Parlamenti italiano ed europeo, consigli regionali e comunali) e la partecipazione degli iscritti alla vita del MoVimento 5 Stelle. Su Rousseau è possibile proporre una legge, votare per la scelta delle liste elettorali o per definire le posizioni politiche del MoVimento 5 Stelle rispetto a temi specifici.
Chiunque può accedere a Rousseau ma solo gli iscritti al MoVimento 5 Stelle possono parteciparlo attivamente
...e comunque "un software che dialoga con l’hardware"?!?! A seconda di come interpreti le parole, non c'è sempre solo una ragione, anche tu hai usato una parola sbagliata Paolo.
Non sono sorpreso! Vi ricordato quando Beppe Grillo nei suoi spettacoli criticava i computer ed internet ed addirittura lanciava i monitor giù dal palco??
Questo è il risukltato di quella (in)cultura!
My two cents sulla questione SO. Se davvero questa denominazione aveva un valore metaforico, il messaggio non è passato. Quando io ho sentito questo termine riguardo a Rousseau ho pensato all'ennesima dimostrazione di cialtronaggine di quella gente.
Come l'AGID che chiama quello che stanno facendo "Sistema operativo del Paese".
Quello che mi colpisce, al di là dell'inettitudine di chi ha implementato la soluzione, è che nelle alte sfere nessuno abbia pensato, in tutti questi anni, di far fare un penetration test. Vero che costano, ma almeno quando ti bucano (perché non è questione di se, ma quando e come) puoi dire di aver fatto almeno il minimo e pararti il culo, legally speaking.
ma si sa se gli utenti siano stati avvisati da una email specifica? Si sa se i vecchi utenti siano stati cancellati dal sistema? Io ho un vecchio account (con password più lunga di 8 caratteri...) e non mi fa entrare, ma non si sa mai, visto il pressapochismo. Cifrare le password è sbagliatissimo come giustamente fa notare Unknown, occorre usare il salt e un algoritmo di hash.

[quote-"balloto"] Linux non è un sistema operativo, è il kernel.[/quote]
Scrivo meglio: il kernel è il sistema operativo che si chiama Linux.


Si sono fatti bucare il portalone con trucchetti da hacker alle prime armi, han rassicurato con tanta baldanza e sicumera il primo hacker (quello white hat che gli ha segnalato il problema) che tutto era a posto, poi per ringraziarlo adesso lo querelano, poi è arrivato il secondo hacker (quello black hat) che gli sfonda il portalone con lo stesso metodo (quindi col piffero che avevano fixato il problema) e poi per finire che fanno? Direte che sono andati in tv o che han fatto un lancio di agenzia in cui si scusavano, si cospargevano il capo di cenere e ammettevano le falle gravi e promettevano di rimediarvi e che una simile cosa così grossa non sarebbe più capitata? Certo che no, loro stessi (e anche gli influencer della loro rete a cui han girato la velina) partono con slogan tipo "non esiste alcun sistema sicuro", o "questo è un problema di sicurezza generale di tutto il paese, lo Stato deve fare qualcosa" (parole di Di Maio) pur di non ammettere il proprio errore e perdere quell'alone di perfezione e invincibilità che si sono costruiti attorno per intortarsi i propri adepti.
Sono senza speranza, ed è già la seconda volta che gli bucano i server con metodi banalissimi, e visto che non c'è due senza tre voglio vedere che palle si inventano al prossimo giro.
Leggendo David Puente hanno attaccato anche il blog, quindi posso confermare che non hanno avuto nemmeno la decenza di avvertire gli iscritti. Ho provato a modificare la password, ma come dice David è lungo e noioso, ho preferito cancellare l'account tanto non lo uso più.
Sono d'accordo su tutto, fuorchè su un piccolo particolare: quando dici "le password si custodiscono in modo robustamente cifrato" in realtà sarebbe meglio chiarire che si tratta di algoritmi di hash(digest) + salt; cifrare è tutta un'altra cosa. Secondo me dovresti correggere.
In serata odierna, mi sono arrivate due distinte mail d'invito a cambiare pwd; nessuna spiegazione annessa; la prima da movimento5stelle.it, la seconda dal blog beppegrillo.it .

Posso pure cambiarla, ma vorrei sapere la verità di quanto successo, molto semplicemente e chiaramente; trovo controproducente minimizzare o far finta di niente.
Che cosa sia il M5S e con quale atteggiamento si avvicini ai problemi e alle tematiche di cui parla tanto lo si capisce leggendo le loro parole, e i loro programmi.

Ricordo molto bene che il programma per le elezioni del 2013 era assente: nessun problema trattato in modo serio, nessuna costruzione un po' più ampia dell'urlo inca**ato, nessuno sguardo di lungo periodo, nessuna dimostrazione di proposta nata da un pensiero invece che dalla prima fantasia passata per la testa.

Incompetenti boriosi e urlanti, incapaci di mettersi in gioco e di ascoltare le critiche, ma molto bravi a urlare e a giudicare.

Il modo in cui è stato trattato qusto avvenimento dimostra esattamente questo atteggiamento, che può essere molto pericoloso.

E dei suoi votanti, che dire? Gente sicuramente arrabbiata o appassionata, che altrettanto sicuramente sta sbagliando la strada verso una soluzione ai propri problemi.

Diclaimer (e questo discorso NON IMPLICA il concetto di "la strada giusta invece è quella del partito xyz". Chi non capisce questo, probabilmente ha trovato uno degli errori di pensiero che gli fanno votare M5S).
Ma.. scusa. Paolo tu sei espertissimo. Oltre che attivissimo. Mi chiedo: tutti questi espertoni che tirano guano su Rousseau.. e ovviamente le capacità del team Beppe Grillo. No. Potevano loro stessi craccare tutte le info prima?
So Che ci sono aziende che fanno questo di mestiere... Ma chiedo: se andassimo sul portale, se esiste, del PD nel quale tra l'altro probabilmente non si fa nulla se non guardare i monologhi di Matteo, avremmo livelli di sicurezza migliori? E su qualche sito .gov?
Invito gli hacker da osteria ad impegnarsi a 360°. Di merda in giro c'è né tanta. :-)
sermo,

Ma è possibile, secondo te, che su un portale bucato per due volte in due giorni, che le cose che vengono messe in atto tramite votazione diretta, siano davvero quelle votate per maggioranza?
Non ti sfiora il dubbio che possano essere manipolate dall'esterno?
Essendo esse un fondamento del movimento, fossi in te lascerei da parte gli slogan stantii e rifletterei un momento. Altrimenti rischi di passare per uno di quelli che mette la testa sotto la sabbia di proposito.
Anch'io ho ricevuto l'email che consiglia di cambiare password. Ma non c'era scritto di cambiare la password negli altri siti in cui l'ho usata...
/N/ e altri,

accolgo l'obiezione sulla cifratura: ho peccato di eccessivo divulgativismo :-)

Ho riformulato, adesso dovrebbe andare meglio. Grazie.
Sull'ostinarsi a chiamare sistema operativo un semplice groupware casereccio mi sono spesso infuriato anch'io, denunciandolo come uno strafalcione clamoroso frutto di un totale analfabetismo informatico. Poi una persona mi ha suggerito che forse esiste una spiegazione: così come un OS è un software che serve a far dialogare e coordinare a basso livello i componenti di un calcolatore, fornendo al contempo un'interfaccia con gli utenti, Rousseau consente il dialogo ed il coordinamento dei diversi organi del partito e fornisce un'interfaccia ai propri membri. Sembra un'astrazione fin troppo elaborata per il livello di competenza del grillino medio, ma ha un senso
Giona, tutti,

usare con un significato nuovo un termine che ha già un significato estremamente consolidato, e usarlo oltretutto per un concetto nello stesso settore (software), è stupido e crea solo confusione.

E' stupido come avere un chirurgo che dice "pinze" ma intende "trapano" perché vuol fare il "creativo" e poi s'incazza quando l'infermiere gli passa le pinze e gli dice "ma lei aveva detto 'pinze'".

Ci sono mille altri modi per chiamare una piattaforma di discussione. "Sistema operativo" è il più inadatto. E se chi ha fatto questa scelta non sapeva che "sistema operativo" è un termine già usatissimo in informatica, andrebbe tenuto lontano da qualunque decisione informatica e portato a brucare insieme alle altre capre.
@giubbe

Ho cambiato le pwd: per quello si fa in fretta dalla richiesta reset; ho visto nel mio profilo che chiedono ulteriori dati come obbligatori (c.f. e data scad. documento), ma col cavolo che li ho inseriti! Se non parlano, come faccio a sapere se hanno sistemato le loro elementari falle?
Superpole: non mi pare che altri partiti usino piattaforme di gropuware per stilare i loro programmi e custodiscono i dati degli iscritti in un DB esposto su internet.
Come al solito se si parla di problemi nel movimento arriva quello che se ne esce con "e allora gli altri?"

In questo caso poi è una cantonata: "e allora gli altri?" Gli altri non lo fanno.
@Superpole

Il tuo discorso non è condivisibile per una serie di motivi:

1) accontentarsi di "ma gli altri partiti magari fanno peggio o uguale con i loro siti" non è accettabile per un partito che ha come bandiera il fatto di essere diverso (migliore) degli altri e di essere il primo della classe sui temi tecnologici / informatici;

2) la gravità di un attacco è proporzionale anche al valore del sito attaccato. Craccare un acccount twitter di un Carneade qualsiasi o un sito di una banca non è la stessa cosa. E, come dici tu, il massimo che si potrebbe fare con il sito del PD sarebbe sostituire la faccia di Renzi con quella di Peppa Pig. Figura di merda colossale, ok, ma niente di paragonabile al fatto di avere controllo su Rousseau, dove potresti influenzare votazioni per candidati, scelte sulle proposte di legge, donatori etc. etc.

Uhm... si può chiamare content management system allora?
Superpole,

Rimanendo in ambito scatologico, la piattaforma Rousseau facile da bucare è l'equivalente di una enorme ciotola per fare tutti assieme una buonissima torta, dove però qualcuno ci si può tuffare e farci la cacca dentro.

Non mi sembra che nessuno dei portali che citi abbia questa caratteristica che, per inciso, trovo innovativa ed utile, ma che non è gestita come una cosa così importante dovrebbe essere.
@Paolo
Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile. Direi nemmeno, perche' comunque "cavallo" e automobile hanno funzioni piu' o meno analoghe (si muovono e possono trasportare e trainare oggetti). Mentre direi che tra un portale e un S/0 le differenze sono molto piu' marcate...
Ma Paolo, Tony, non siamo ingenui. Il termine Sistema Operativo associato a Rousseau è un’ovvia trovata di marketing (assolutamente legittima in politica così come nel commercio e senza nulla togliere all’idea che è Rousseau). Possiamo pure stare qui a giustificare quanto sia corretta o meno l'analogia con un OS (l'ho fatto io ad esempio) o quanto sia opportuno o meno usarla (l'hai fatto tu Paolo per esempio) ma il punto è che non sono queste considerazioni a qualificare la competenza della dirigenza sui temi informatici, semmai ti dice quanto siano smaliziati ad abusarne per essere "catchy".

"E se chi ha fatto questa scelta non sapeva che "sistema operativo" è un termine già usatissimo in informatica, andrebbe tenuto lontano da qualunque decisione informatica e portato a brucare insieme alle altre capre."

Se lo sapevano, l'hanno usato per marketing e vale quanto sopra. Se non lo sapevano, semplicemente sono già lontani da importanti decisioni informatiche, visto che comprensibilmente chi ha implementato il sistema non è chi ha deciso di chiamarlo Sistema Operativo come slogan. Guardate che l'informatica non è religione. Non deve suscitare scandalo qualsiasi sospetto di blasfemia ("mio Dio l'hanno chiamato Sistema Operativo! Ma è un portale!", "Sì però in senso figurato...", "Ma è un abuso del termine! Capre!", "Ma se vuoi anche sì ma è una strumentalizzazione del termine non una gaffe").

Il fatto che la dirigenza, per di più di un movimento che fa di Internet il suo luogo di aggregazione e confronto, non si fosse preoccupata del livello di sicurezza di un sistema con quelle ambizioni, ecco questo dice qualcosa (e occhio che la sensibilità al tema sicurezza online deve essere patrimonio anche di un profano di informatica se online si espone e se online vuole traghettare il “sistema”).
E' stupido come avere un chirurgo che dice "pinze" ma intende "trapano" perché vuol fare il "creativo" e poi s'incazza quando l'infermiere gli passa le pinze e gli dice "ma lei aveva detto 'pinze'".

True story...
Davide ha scritto:
"Rousseau è un sistema operativo nel senso filosofico del termine: nel sistema Stato consente all'utente (cittadini) di disporre dell'hardaware (risorse) e del software (servizi, compresi i servizi di sistema come l'apparato gestionale)."



Come fosse antani tarapia tapioco, prematurata la suopercazzola, insomma.

https://www.youtube.com/watch?v=u22wbtCKYmw

@davide. Da sistemista informatico: chiunque dica le tue stupidaggini sul "sistema Operativo" in una QUALSIASI azienda informatica, viene messo a pulire i cessi, se non licenziato in tronco per MANIFESTA INCOMPETENZA
Possiamo dire che per realizzare e gestire il portale hanno voluto spendere il meno possibile, o, più correttamente, hanno voluto spendere troppo poco?

Il bello è non so quanto possa costare rattoppare qualcosa che è nata male per aver fatto troppa economia.

Magari finiranno con lo spendere di più che se avessero fatto le cose per bene dall'inizio.
Mi sono arrivate anche a me le 2 mail per il cambio password... Comunque mi permetto di dire che il sito di Beppe Grillo fa proprio schifo... dire che è pieno di banner è dir poco, ti chiede il cambio password, ma non puoi farlo da utente già loggato... Perchè dovrei usare un link e dire che HO DIMENTICATO la password, quando NON E' VERO... voglio solo cambiarla, e dal profilo non riesco a farlo. E poi, come hanno già detto altri perchè mettere un limite MASSIMO alla lunghezza della password??! Posso capire magari non superiore ai 20/30 caratteri, ma limitarlo agli 8 è da polli no??! Devono risparmiare spazio e quindi soldi per il database?!?
e tanto per dimostrare di essere capaci la mail del cambio della password rimanda ad un indirizzo senza protocolli di sicurezza SSL.
Non ho parole
Guastulfo

La mia opinione è che il sistema sia stato progettato, realizzato e sia gestito da componenti legati a m5s, chiaramente dietro compenso, ma nell'ottica dell'auto sostentamento. È altresì mia opinione che, tenendo in considerazione il modus operandi di m5s, la progettazione, la realizzazione e la gestione del sistema siano state affidate a degli esperti secondo m5s (tipo chi vende siti progettati su smartphone o poco più), nella cieca convinzione che questo fosse garanzia di sicurezza, ignorando completamente come va davvero il mondo, le basi della sicurezza informatica e ciò che segue se questa non viene elaborata secondo criteri solidi.
... come mai questo sito "attivissimo.blogspot.it" viene segalato in "connessione non protetta .. ??? OCCHIO .. !!!
Scommetto che è andata più o meno così...Per mettere su Rousseau avranno sottopagato un nativo digitale che dopo aver letto da una non meglio specificata fonte qualche concetto base ha scoperto le bellezze del php e si è sentito Dio, senza avere la minima competenza in materia di sicurezza. Ovviamente, essendo un nativo digitale, avranno pensato che "non è necessario verificare le sue competenze e poi, cosa volete, dove lo troviamo un altro che ci mette in piedi il sistema per 500 euro (lordi)?"
Comico constatare che per il sig "attivissimo" nell'Italia in cui si inc.lano migliaia di risparmiatori per salvare delle banche, dell'Italia devastata dalla corruzione, in cui la mafia gestisce impunemente le proprie terre dei fuochi, il problrma scandalo sarebbe dato dalla "vulnerabilità di Rousseau".La prima domanda che pongo all'"attivissimo", data l'atteggiamento da sputasentenze che ostenta è la fonte dalla quale ha attinto le sue informazioni: se si sia preoccupato di consultare anche colui che è stato da questa intrusione danneggiato, ossia la casaleggio associati,per trarre le debite conclusioni La percezione che ho dalla lett ura del suo pezzo è quella di un coacervo diinvettive, di preconcetti e di arbitrarie asserzioni, tipiche di chi quotidianamente si abbevera alla fonte della stampa debenedettiana pregna di livore contro il Movimento.Dato che nn si tratta di stabilire quanto è brocca una squadra di calcio, al cospetto di un'altra, come avviene nelle discussioni al bar Sport, un minimo di umiltà avrebbe dovuto indurre ad una verifica globale delle fonti, partendo da quella che è stata oggetto dell'intrusione.Per poter effettivamente parlare con cognizione di causa.Indubbiamente Rousseau nn è perfetto.Ma se mi si permette, nessun sito lo è né lo può essere, dato che purev i siti del Pentagono o della NASA sono stati violati, anche se nn eran gestiti da "grillini".Non è perfetto Rousseau, ma amvisce ad essere un.modello nuovo, rispetto ad un sistema di votazioni tradizionale come quello delle primarie o brogliarie PD, in cui uno puio votare per decine di volte da seggi diversi e nel quale anche i morti son fatti passare per votanti.Saluti
A proposito si SO, anche il team di Piacentini usa il termine in modo originale (riscriviamo il SO della pubblica amministrazione)
@eles,

per il portale non so dato che mi sono disiscritto diverso tempo fa (erano stati eletti da poco e Rousseau doveva ancora nascere). Per il blog non ho chiesto il reset, ma ho tentato il cambiamento dall'interfaccia: il problema è che voleva tutti i dati inseriti a suo tempo e per un blog non uso mai dati veri (come qui, del resto). Infine ho rinunciato e mi sono cancellato anche dal blog, semmai un giorno mi riiscriverò.
Giubbe
Linux è il solo kernel il sistema operativo è GNU/Linux anche se tutti ormai usano solo Linux
Il kernel Linux è usato anche su Android.

@davide,

come trovata del marketing mi pare un po' ridicola, la maggior parte della gente non sa cosa sia un sistema operativo, figuriamoci se capisce l'analogia che si voleva creare. Hanno semplicemente sbagliato: chi sa cosa è un SO fatica a chiamare così un portale, chi non lo sa si è subito scordato del termine e comunque non capisce il messaggio che voleva far passare. Tale messaggio, ovviamente, passa lo stesso, ma con altri slogan.
Gianfr. DE,

Comico constatare che per il sig "attivissimo"

Figliolo, cominciamo dalle basi, che evidentemente ti mancano: Attivissimo è il mio vero cognome. Quindi le virgolette te le puoi tranquillamente portare a casa e metterle dove più ti piace.

Perdona la schiettezza, ma prima di risponderti vorrei essere sicuro che stai ancora leggendo questo blog e che non sei semplicemente venuto a rigurgitare un punto di vista che ti faceva pesantezza di stomaco. Vediamo se ora ho la tua attenzione.
Ivan,

... come mai questo sito "attivissimo.blogspot.it" viene segalato in "connessione non protetta .. ??? OCCHIO .. !!!

Perché così quando lo visiti ti rubo l'anima attraverso la webcam; se visiti una seconda volta, ti avvizzisco un testicolo usando una frequenza di refresh rotante sul tuo monitor. Su quello che succede alle signore calo un pudibondo silenzio.
Segnalo un'imprecisione: le password non sono memorizzate in chiaro su Rousseau.
Certo, la funzione di hashing ha resistito 12" a John the Ripper :D
quindi il succo del discorso non cambia.
Anche l'articolo di formiche.net usa il termine "sistema operativo" riferendosi a Rousseau.
@Gianfr. DE

Ma le fonti ci sono, basta cliccarci, poi leggi e ti fai un'opinione tua.
Io sono basita che sui tg vari non dicano più niente: cioè, valanghe di attacchi immeritati e quando sussiste un fatto grave...se la spicciano in uno/due gg...mah!

@Patrick Costa

Sul blog son d'accordo con te; per la lunghezza pwd, credo che adesso vengano accettate anche oltre il range indicato; range che è di 10 caratteri per il blog, a cui mi sono attenuta e di 8 per il portale; qui, nel reset, l'ho impostata a 10 e me l'ha presa; quindi, credo abbiano modificato lasciando, però, l'indicazione del limite precedente.
@Scatola Grande

con il permesso del nostro ospite vado OT.
Cosa sia un sistema operativo non è di facile definizione per via del fatto che esegue fondamentalmente due funzioni scorrelate tra loro: da una parte la gestione a basso livello dell'hardware e dall'altra la gestione e l'astrazione delle risorse.
E' facile però distinguere il S.O. da altro, come nel caso in esame. Di questi tempi è facile proporre link, io invece ti propongo un estratto dal libro sulla progettazione dei Sistemi Operativi usato nel corso universitario di Scienze dell'informazione:
"Gli editori, i compilatori, gli assemblatori, i linker e gli interpreti di comando, non fanno parte del sistema operativo anche se sono molti importanti ed utili" (Tratto da: "Progettazione e sviluppo dei sistemi operativi" di Andrew S. Tanenbaum). Tanenbaum è noto anche ai non adetti ai lavori per una discussione pubblica avuta con Torvalds sulla bontà dei S.O. a microkernel (come il suo Minix) rispetto ai S.O. monolitici come appunto è Linux.
Nel caso in esame il kernel è il sistema operativo, mentre i programmi GNU sono appunto software di base importanti, ma non fanno parte del S.O.
Tra l'altro, GNU/Linux è solo una definizione venuta dopo il successo (dal punto di vista degli informatici, non del pubblico) di Linux e non prima, come sembrano suggerire le tue parole.
Android è la prova che il Sistema Operativo Linux può avere una interfaccia utente diversa da bash, ma continuare ad essere il sistema operativo Linux.
@Eles comunque farebbero meglio ad usare lo stesso database per il login sia sul blog che sul portale almeno evitano doppie password e confusione ulteriore per quelli non pratici.

Premesso che non voglio parlare di politica visto che non ne sarei probabilmente in grado (non me ne frega gran che in sostanza :-/ ), ma voglio solo precisare che mi ero iscritto al blog di Beppe Grillo quando avevano fatto i primi Vaffanc.Day quando mi SERMBRAVA che fosse davvero una rivoluzione per i giovani e per il metodo "politica all'Italiana"... poi anche qui, mi sono ridimensionato parecchio con gli anni. Dal mio punto di vista, quando vedo che anche il Movimento sfrutta il sito con banner selvaggi, che mette in piedi servizi digitali in maniera pessima... servizi che dovrebbero essere il loro cavallo di battaglia, beh... mi lascia parecchio scontento. L'idea di far partecipare i cittadini attivamente alla politica facendo di continuo votazioni sulle più disparate tematiche, è una gran cosa, ma se poi questi voti sono "modificabili" o non veritieri allora tanto vale.
Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica.

Credo che questo sia il minore dei problemi che hanno. Poi credo che "Sistema operativo" sia usato in senso metaforico, nel senso di "motore" della loro "democrazia diretta", e imo ci sta.

Sul resto non ho nulla da eccepire.
Giubbe,
GNU è del 1984 e prima del kernel Linux ne ha usati altri. Linux nasce ne 1991 ed era solo un kernel. Quando Torvalds pubblicò Linux GNU aveva già il suo kernel, Hurd, che poi fu abbandonato, o quasi.

Torvalds attualmente si occupa dello sviluppo del solo kernel.
"l’affiliazione politica è un dato delicato e personale"
Oltre che personale, ai sensi del codice sulla protezione dei dati personali, è anche un dato *sensibile*, che sottostà a tutele ancora più stringenti.
Sarebbe interessante capire che responsabilità abbia il Movimento in termini di (assenza di) misure minime di protezione dei dati personali.
@Scatola Grande
Il "solo" kernel è il Sistema operativo. Come giustamente dici (e come ho detto anch'io), all'inizio c'era solo il sistema operativo Linux, ed è corretto sostenere che all'inizio si chiamava solo Linux dato che il nome lo ha scelto il suo creatore. Solo dopo il successo di Linux, la Free Software Foundation ha aggiunto il suo suffisso a tutte le distribuzione Linux. Comunque il sistema operativo può vivere, e lo fa già, senza i software GNU, e il più noto è Android.
Hurd era un progetto molto interessante, tra l'altro microkernel (come piace a Tanenbaum), ma che purtroppo non ha avuto il successo che si meritava per i pochi sviluppatori.
Torvalds si occupa dello sviluppo del sistema operativo. All'inizio si è occupato anche del porting (si direbbe oggi) da Minix a Linux per i software gcc e bash, che come dici anche tu sono antecedenti al sistema operativo.
Vedo comunque che non hai accettato nulla di quello che ti ho detto, quindi proseguirò la conversazione solo se sarà costruttiva. Non ho interesse a correggere chi non vuole sentire, nè posso io apprendere qualcosa di nuovo da chi non partecipa. Aspetto un documento di un eminente e riconosciuto luminare di Sistemi Operativi in cui si dica che un qualsiasi editor, compilatore (o altro) sia una parte del sistema operativo.
@Scatola Grande
@giubbe

Questo è l’annuncio della prima versione di test di hurd versione 0.0 (era il 1996):
https://www.gnu.org/software/hurd/history/hurd-flash13
In quell anno Linux era alla versione 2.0

E sì l’editor di testo non fa parte del sistema operativo, ma di quello che si chiama distribuzione (una collezione di software GNU o meno che permette di usare il sistema operativo)
Giubbe,
Credo di aver capito: il problema sta nella definizione di Sistema Operativo. Torvalds ritiene che il solo kernel sia un SO e mi sembra che sia anche la tua posiziine.
Stallman ritiene che gnu sia un SO.
A me sembra sia più logico separare il kernel, la cui definizione sembra meno sfumata di quella di SO, dal resto, tutto qua.
Che è poi la posizione espressa qui
https://stackoverflow.com/questions/3315730/what-is-the-difference-between-the-operating-system-and-the-kernel
A me sembra sia più logico separare il kernel, la cui definizione sembra meno sfumata di quella di SO, dal resto, tutto qua.

Anch'io trovai, tanti anni fa, una definizione simile. Erano i tempi del DOS (il primo computer su cui ho messo mano aveva il DOS 3.3, ai tempi dell'università :-D )

Nel corso di teoria e applicazioni delle macchine calcolatrici il docente definiva sistema operativo (non ricordo i termini precisi) un software, che oltre ad essere in grado di gestire l'hardware a basso livello, forniva un interfaccia ad alto livello.

Il DOS, che io sappia, non aveva un kernel (quindi non so se sia corretto considerare il kernel un sistema operativo) ma aveva un interfaccia con incluse delle istrizioni di base come "DIR", "DATE", "TIME" e poco altro, che permettevano una minima gestione dei files e l'avvio dei programmi.

Questo sempre che non si considerino kernel i file IO.SYS, MSDOS.SYS e COMMAND.COM che erano sufficienti ad avviare il pc e fare quanto sopra detto.

My two cents
@Scatola Grande,
non è questione di quello che credo io, io non conto nulla. E' questione di come funziona e cosa sia effettivamente un sistema operativo.
In una visione Top-down il S.O. operativo ha il compito di fornire un'interfaccia amichevole verso l'utilizzatore, mentre in una visione Botton-up ha il compito di gestire i componenti hardware.
Esaltare la prima definizione rispetto alla seconda è solo una questione di come l'interlocutore desidera affrontare la spiegazione. Per questo, come ti dicevo all'inizio è difficile definire cosa sia un S.O.
Il problema della definizione Top-down è che è facile confondersi su chi sia l'utilizzatore. Quando si scrive un S.O. (o come nel caso mio, si studia, o meglio ahimè..., si è studiato) si sa che l'utilizzatore è il programmatore, è a lui che vengono rivolti gli sforzi per astrarre l'hardware. Non è il comune utente, il quale manco deve sapere cosa sia il S.O.
Di contro nella definizione botton-up si "perde" tutta la parte di astrazione e di conseguenza non si capisce bene come agevola il programmatore.
Se comunque unisci le due definizioni trovi che un S.O. deve gestire l'hardware e astrarre le funzioni in modo che un programmatore possa usarle. Per esempio il programmatore sa che per scrivere un file deve usare la direttiva del suo linguaggio preferito che indicherà al S.O. di scrivere e leggere tutte le informazioni necessarie: disco, partizioni, metadati, cluster, link, ma lui non si occuperà direttamente di questi, nè di tutti i processi necessari ad usare fisicamente il disco.
Se un sistema operativo deve gestire e astrarre l'hardware, è impossibile che la shell sia parte integrante dello stesso perchè non fa nessuna delle due cose e lo stesso vale per qualsiasi altro software.
Se il sistema operativo fosse un software che permette all'utente finale di gestire il calcolatore, dove lo mettiamo il confine (tra S.O. stesso e software)? Tu mi diresti che il confine è il kernel, questo astrae e gestisce, il resto è software di base. Anche così, però, non sarebbe chiaro: dove finisce il S.O. e inizia il software "normale"? L'editor è di base, ma notepad no? La shell è di base, ma il Window mangager o il telecomando no (spesso i lettori dvd hanno linux a bordo)?
Inoltre c'è il problema che il kernel può non essere il S.O. completo, ma solo una parte. Questo capita quando hai a che fare con S.O. a microkernel in cui il kernel gira a in uno spazio di memoria protetto, ma il File system (per riprendere l'esempio di prima) gira in user space.
Per intenderci Linux è monolitico e quindi kernel e S.O. coincidono.
Dato che l'informatica è una branca della matematica è meglio avere delle definizioni precise: dal S.O. sono fuori tutti quei programmi, seppur importanti, che non gestiscono l'hardware e non lo astraggono.
Questa definizione è, fino ad oggi, accettata dal mondo accademico e quindi da me (non che io sia un insegnate).

@Guastulfo (Giuseppe)
Se non ricordo male, il kernel del DOS (almeno fino alla versione 6.2) è MSDOS.SYS, mentre IO.SYS gestisce l'hardware, e il command.com è l'interfaccia. Quindi il Sistema operativo è msdos.sys + io.sys
]zac[
Quando Torvalds pubblicò Linux GNU aveva già il suo kernel, Hurd, che poi fu abbandonato, o quasi.
]zac[

Hurd non era funzionante, non era pronto, non è mai stato pronto per l'uso, nemmeno quando linux era appena a livello di Minix.
GNU ha avuto un solo kernel, linux.



Per definire cos'è un SO bisogna prima dare un significato condiviso della parola SO.

Per un programmatore SO è tutto quello che permette di non conoscere i dettagli esatti dell'hardware.
E non ha molto senso domandarsi se una parte sta in spazio utente o kernel, se serve fa parte del SO.

Per utente SO è tutto quello che consente di fare un utilizzo base ma utile di un computer.
Per esempio anche installare programmi, aggiungere nuovo periferiche, ecc., e anche qui non ha molto senso spaccare il capello in quattro.
Alla Casaleggio ed Associati usano da sempre un solo software per fare tutto, dal blog di Beppe Grillo a quello delle Stelle ed a Rosseau: Movable Type Enterprise. Vecchissimo, closed source e buggatissimo.
"Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica..."

Non si può sempre sapere tutto e capire tutto.
Ad esempio lei si lancia in questa affermazione che una stupidata totale.
Se una volta si è stabilito che SO è quel SW che gestisce il PC, mi vuol dire che la definizione "sistema operativo" non potrà piu' essere usata in nessun altro ambito>?
Ma dove l'ha letta questa sciocchezza?
Quindi se entri in un negozio di ferramenta in america (Hardware) ti scompisci dalle risate perché dentro ci trovi viti e cacciaviti ma non schede madri (hardware)?

Ci vuole più modestia anche nelle critiche.
Ivan Basso ha scritto:
> ... come mai questo sito "attivissimo.blogspot.it" viene segalato in "connessione non protetta .. ??? OCCHIO .. !!!

poche idee e ben confuse, eh?

Ecco cosa è https: https://it.wikipedia.org/wiki/HTTPS

comunque installando un plugin come HTTPS Everywhere o semplicemente digitando https://attivissimo.blogspot.it il sito viene presentato sotto HTTPS
@Nox

Dipende anche dal contesto.

Se il M5S vuole descrivere Rousseau come il proprio "sistema operativo" usando il termine in senso figurato è un conto; se lo fa in un comunicato in cui si denuncia un'intrusione informatica, lascia quantomeno il dubbio di non sapere di cosa si sta parlando.

Se parlando col tecnico informatico della mia azienda dico di avere un "problema hardware" probabilmente lui non si aspetta di scoprire che mi si è svitata la cassettiera, il che pure (come nel tuo esempio) può essere considerato un problema hardware.
Gianfr. DE

Io sono invece basito dal coacervo d'invettive pregne d'errori ortografici, tipici della scuola grillina che, per tentare di screditare chi dissente, risponde con un italiano inutilmente pomposo ma immancabilmente stentato.

Almeno rileggere prima di postare credo gioverebbe non poco anche alla sostanza del movimento, oltre che all'immagine. Immagine che, stando al tuo intervento, rientra a pieno titolo in quella dei bambiniprotesipenienasicula.