07 febbraio 2011
Automobilisti nerd
Una cosa che apprezzo sempre con massimo gusto, sono le trovate geniali di alcuni individui che percorrono quotidianamente le strade cittadine.
Conosco, amatorialmente, qualche linguaggio di programmazione, tra cui anche SQL e relativi comandi. Quando ho visto questa foto mi si è letteralmente aperto un mondo (malvagio) tutto da scoprire.
....funzionerà?
Perchè se così fosse, e il sistema di OCR non avesse controllo sulla validazione dei dati acquisiti, questo semplice comando (SQL injection) cancellerebbe non solo i dati relativi al veicolo, ma tutto il database locale del sistema di rilevazione infrazioni. Il comando di per sè prevede che dopo aver acquisito i dati e chiuso il database, alla successiva apertura dello stesso per una nuova immissione dati, l'ultimo dato inserito incorporerebbe il comando per cancellare tutto, e verrebbe necessariamente eseguito con privilegi in lettura/scrittura amministrativi in quanto è lo stesso dispositivo di rilevazione a eseguire tutte le operazioni. Questo "attacco" a sistema informatico è conosciuto sotto il nome di exploit.
Non so come funziona per gli apparecchi di rilevamento infrazioni, ma sicuramente ci sarà un database locale (nel cartellone) che verrà aggiornato di tot in tot con quello centrale dell'ente, per cui i "danni" saranno limitati ai soli dati locali prima della sincronizzazione col database centrale.
Se così non fosse, e il dispositivo fosse in comunicazione diretta col database centrale (poco ovvio, ma in Italia e in Polonia non si può mai sapere), il danno sarebbe allora catastrofico...
Ora lancio un appello ai cari colleghi automobilisti nerd.
E' applicabile al nostro sistema una cosa del genere? Ovviamente credo che cancellare un database tramite un exploit del genere sia abbastanza ottimistico come risultato, ma si può sempre causare un crash di sistema dell'apparecchio.
A questo punto farei una striscia in plexiglass e la incollerei subito a mò di alettone posteriore.
Mi congedo da questo articolo semi-apocalittico con una divertente striscia in inglese, che aiuterà a capire anche chi mastica poco linguaggio di programmazione.
Buon viaggio!
Conosco, amatorialmente, qualche linguaggio di programmazione, tra cui anche SQL e relativi comandi. Quando ho visto questa foto mi si è letteralmente aperto un mondo (malvagio) tutto da scoprire.
....funzionerà?
Perchè se così fosse, e il sistema di OCR non avesse controllo sulla validazione dei dati acquisiti, questo semplice comando (SQL injection) cancellerebbe non solo i dati relativi al veicolo, ma tutto il database locale del sistema di rilevazione infrazioni. Il comando di per sè prevede che dopo aver acquisito i dati e chiuso il database, alla successiva apertura dello stesso per una nuova immissione dati, l'ultimo dato inserito incorporerebbe il comando per cancellare tutto, e verrebbe necessariamente eseguito con privilegi in lettura/scrittura amministrativi in quanto è lo stesso dispositivo di rilevazione a eseguire tutte le operazioni. Questo "attacco" a sistema informatico è conosciuto sotto il nome di exploit.
Non so come funziona per gli apparecchi di rilevamento infrazioni, ma sicuramente ci sarà un database locale (nel cartellone) che verrà aggiornato di tot in tot con quello centrale dell'ente, per cui i "danni" saranno limitati ai soli dati locali prima della sincronizzazione col database centrale.
Se così non fosse, e il dispositivo fosse in comunicazione diretta col database centrale (poco ovvio, ma in Italia e in Polonia non si può mai sapere), il danno sarebbe allora catastrofico...
Ora lancio un appello ai cari colleghi automobilisti nerd.
E' applicabile al nostro sistema una cosa del genere? Ovviamente credo che cancellare un database tramite un exploit del genere sia abbastanza ottimistico come risultato, ma si può sempre causare un crash di sistema dell'apparecchio.
A questo punto farei una striscia in plexiglass e la incollerei subito a mò di alettone posteriore.
Mi congedo da questo articolo semi-apocalittico con una divertente striscia in inglese, che aiuterà a capire anche chi mastica poco linguaggio di programmazione.
Buon viaggio!
Etichette: database, drop, exploit, infrazione, injection, nerd, sql, table, targa, targhe, telecamere
Iscriviti a Post [Atom]