Cybersecurity – Have I Been Pwned diventa open source (01net)

Have I Been Pwned

Troy Hunt, creatore di “Have I Been Pwned” oltre a essere Microsoft Regional Director e MVP, aveva già pre-annunciato lo scorso anno l’intenzione di rendere open source il code base del noto sito che consente agli utenti di verificare se la propria email o numero telefonico sono stati compromessi in un data breach.

Di recente l’esperto di Information Security ha condiviso diverse novità importanti relative a Have I Been Pwned.

Rendere Have I Been Pwned open source non era un task facile né banale, ha spiegato Troy Hunt, che però era convinto che fosse la cosa giusta da fare per la longevità del progetto.

Sono molti i motivi che rendono difficile prendere qualcosa che per anni è stato gestito come un progetto personale e spostarlo nel pubblico dominio.

È necessaria una certa esperienza nel gestire un progetto open source, sapere come stabilire il modello di licenza, coordinare dove la community debba investire gli sforzi, prendere i contributi, riprogettare il processo di rilascio e altro ancora.

Ed è qui che è entrata in gioco la .NET Foundation.

Have I Been Pwned

Dopo aver annunciato l’intenzione passare all’open source, prosegue il racconto di Troy Hunt, la direttrice esecutiva di .NET Foundation Claire Novotny lo ha contattato e gli ha offerto il supporto della fondazione, iniziando così il passaggio al nuovo corso.

Il supporto della .NET Foundation per la conversione open source è utile per le caratteristiche del progetto e il lavoro è iniziato con Pwned Passwords per una serie di motivi, anche tecnici, ha sottolineato Hunt.

Perché ha una code base molto semplice che consiste in Azure Storage, una singola Azure Function e un worker Cloudflare. Ha il suo dominio, il suo account Cloudflare e i suoi servizi Azure, quindi può essere facilmente reso open source  indipendentemente dal resto di Have I Been Pwned.

Inoltre, è interamente non commerciale, senza costi API o servizi enterprise come altre parti di Have I Been Pwned e i dati alla base di Pwned Passwords sono già liberamente disponibili nel pubblico dominio attraverso i set di hash scaricabili.

Per questi motivi, era possibile effettuare per molti versi un semplice “lift and shift” per migrare Pwned Passwords nell’open source.

Inoltre, Pwned Passwords è ora una parte importante di molti servizi online e questa mossa assicura che chiunque possa eseguire la propria istanza di Pwned Passwords, se lo desidera.

Ma ciò di cui Pwned Passwords ha davvero bisogno per avere successo, ha poi messo in evidenza Troy Hunt, sono nuove password man mano che vengono compromesse. Ed è qui che entra in gioco la seconda importante novità, che riguarda l’FBI.

L’FBI e Troy Hunt hanno avviato un confronto sulla possibilità che l’agenzia governativa statunitense potesse fornire un feed delle password compromesse in Have I Been Pwned e farle emergere attraverso la funzione Pwned Passwords.

L’obiettivo comune dell’FBI e del fondatore del sito è quello di proteggere le persone dagli account takeover avvertendole in modo proattivo quando la loro password è stata compromessa.

Integrare queste password in Have I Been Pwned dà all’FBI l’opportunità di farlo quasi un miliardo di volte al mese, ha sottolineato Troy Hunt.

Marco Emanuele
Marco Emanuele è appassionato di cultura della complessità, cultura della tecnologia e relazioni internazionali. Approfondisce il pensiero di Hannah Arendt, Edgar Morin, Raimon Panikkar. Marco ha insegnato Evoluzione della Democrazia e Totalitarismi, è l’editor di The Global Eye e scrive per The Science of Where Magazine. Marco Emanuele is passionate about complexity culture, technology culture and international relations. He delves into the thought of Hannah Arendt, Edgar Morin, Raimon Panikkar. He has taught Evolution of Democracy and Totalitarianisms. Marco is editor of The Global Eye and writes for The Science of Where Magazine.

Latest articles

Related articles