Interessante come discorso.
Io ho mio figlio che ogni volta che succede qualcosa di strano parla di "buggato".
Non c'è verso di fargli capire che se uno si schiaccia un dito non è buggato, ma infortunato.
Non c'è neppure verso di fargli capire che i bug sono degli errori di programmazione, che portano a risultati inattesi, causati dal fatto che il programmatore non ha considerato tutte le condizioni/combinazioni che avrebbe dovuto considerare;
Quando si verifica una condizione non attesa il programma può fare cose più o meno casuali.
Gli hacker cercano questi bug e riescono a penetrare le difese usando delle specie di bypass al normale flusso di programma.
Comunque devo confessare che ho guardato il listato che hai postato (magari non con l'attenzione che avrei dovuto, ma comunque non mi sono limitato a scrollarlo), e non c'ho capito molto.
Devo dire che non sono molto bravo a capire i listati degli altri senza che mi vengano spiegati nello stesso modo usato con i bambini (P.S. Bambino non sono da almeno 40 anni!!!
)
Comunque, tornando al discorso degli hacker, vorrei capire come fanno a scovare i bug di sicurezza: è vero che dei progetti open-source esistono i listati, quindi è abbastanza facile capire i punti deboli, ma in tutti gli altri casi non capisco proprio come ci riescano (forse è per quello che non seguo l'informatica
).
Anni fa avevo il sito web aziendale, che girava con Joomla 1.x, che fu attaccato varie volte.
Io non mi decidevo ad aggiornarlo perchè migrare alle versioni più recenti di Joomla mi avrebbe costretto a rifarlo (quasi) da zero. Così ciclicamente mi toccava rimetterci le mani, ripulirlo dei file che l'idiota di turno (non saprei come definirlo diversamente, dato che non stava certamente facendo un qualcosa di così epico o avveniristico, visto che nel web si trovavano i tutorial su come riuscire a perforare Joomla 1.x) e sperando che alla fine ripartisse il tutto.
Qualche volta mi accorsi che l'avevano bucato più volte e ognuno aveva lasciato il "ricordino" sotto forma di immagine, testo o altro.
Alla fine l'informatico che ci segue ebbe un'idea semplice ma geniale: ci installò in locale il sito con i relativi data-base e ci fece usare un programma che si chiama HTTtrack, che compila un sito convertendolo in pagine statiche formate da un file .html e uno .pdf. Praticamente il sito diventa un sito statico, senza PHP o script di vario tipo, che però si comporta esattamente come quello originale. Il vantaggio è che le vulnerabilità non ci sono più.
Il tutto avrebbe funzionato per un tempo indefinito, ma alla fine 2-3 anni fa decidemmo di cambiarlo e ora usa un altro sistema di gestione data-base.
Questa è la storia del sito web aziendale..... ma cosa succederebbe per tutte le applicazioni in cloud, per i cosiddetti big-data dell'industria 4.0 (per chi non lo conoscesse si tratta di condividere i dati relativi a produzione, teleassistenza, ecc. sul web per renderli controllabili da remoto)?
Verrebbe un vero e proprio casino, col rischio di bloccare la produzione, di allertare qualcuno anche in caso di macchine perfettamente funzionanti, ecc. Sembra tutto bello, ma lo è (forse) fino a quando funziona tutto bene. Se qualcosa non va (per cause accidentali o anche volute/provocate) si paga dazio, anche perchè non è facile rendere sicuri oggetti che si basano su hardware spartani e con poche risorse, dove le barriere anti-intrusione devono essere limitate nelle funzioni, se non addirittura assenti.
Esistono anche siti che consentono di collegarsi a dispositivi IP (soprattutto webcam) sparse nel mondo (ne vidi uno ma non ricordo come si chiama); la cosa che può sembrare normale, ma dopo tutto stiamo parlando di sistemi di videosorveglianza, che se bucati potrebbero venire disattivati..... Insomma l'IoT è una medaglia a 2 facce: una positiva e l'altra (molto) negativa.