È stato l’attacco informatico più grave di tutto il 2018. L’attacco, riuscito, al servizio di posta certificata di Telecom Italia, che ha messo a rischio 500 mila caselle Pec di account pubblici e privati, è stato uno smacco per la sicurezza del paese.
In quei 500 mila indirizzi un quinto degli account, esattamente 98.000, sono di funzionari e dirigenti ministeriali della Difesa, della Giustizia, dell’Interno e degli Esteri, anche dei due ministeri economici, Finanze e Sviluppo Economico. In mezzo ci sono finite le caselle Pec della stessa Presidenza del Consiglio. Tra quelli privati ci sarebbero anche quelli di Leonardo e altre imprese importanti.
A confermare l’esito dell’attacco, inizialmente raccontato in un articolo seminascosto sul web pubblicato dal Corriere della Sera nelle pagine di Milano per spiegare il ‘tilt’ dei tribunali, ci ha pensato Roberto Baldoni, a capo della cybersecurity italiana da 7 mesi. Il numero due del Dis, Dipartimento Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri, ha avuto la forza e il coraggio di metterci la faccia di dirlo davanti a una platea di giornalisti. Un fatto che, a parere di chi scrive, ci accosta alle pratiche dei Paesi più civili e dice che ai vertici della struttura che sovrintende i nostri servizi segreti c’è stato un vero cambiamento in questi anni. Probabilmente anche per merito del lavoro seminato dal prefetto Alessandro Pansa, il direttore capo del Dis.
L’attacco, notificato e contenuto già nelle prime ore successive alla sua scoperta il 12 novembre ha richiesto l’attivazione di un gabinetto di crisi istituzionale che ha partorito un’indagine che durerà a lungo, affidata dal Cnaipic della dottoressa Nunzia Ciardi.
Prima o poi sapremo chi è stato - mafiosi interessati alle carte dei magistrati o spioni stranieri o criminali già in campo con la GootKit, un malware per Pec - ma intanto sappiamo che ha fruttato agli hacker malevoli un bottino di milioni di dati personali collegati alla casella Pec degli account violati.
“Non ha prodotto esfiltrazione di documenti e perdite di dati e si è concluso poco dopo il rilevamento grazie allo spegnimento fisico dei server attaccati.” ha detto il professor Baldoni. “Abbiamo reagito tutti insieme e con efficacia, facendo squadra e trasformando l’evento in una grande esercitazione per il sistema Paese”, ha voluto anche sottolineare, aggiungendo che “Ci dobbiamo abituare a questi attacchi imparando a reagire sempre più velocemente per limitare i danni. Ma con l’aiuto e la consapevolezza di tutti i cittadini.” Punto dolente del nostro ecosistema cyber.
La gravità dell’attacco che ha esposto profili personali e materiale potenzialmente riservato ha obbligato il vicedirettore a invitare tutti a un immediato cambio di password per evitare pratiche di impersonation, phishing, attacchi ransomware o comunque basati sul social engineering.
Il furto di dati è stato così grave da oscurare l’ennesima azione degli Anonymous che lo stesso giorno della disclosure dell’attacco alla Pec avevano divulgato dati personali di aderenti a Confindustria e altre organizzazioni come parte dell’operazione Green Rights. Un’operazione voluta dagli hacktivisti per ricordare a tutti che il climate change è che le industrie inquinanti non possono tacere.
La Pec attack e l’operazione Green Rights in questo novembre nero della cybersecurity italiana non sono stati gli unici attacchi che hanno impensierito cittadini, esperti, imprese e istituzioni. Dal 28 ottobre al 5 novembre Lulzsec Italia, AntiSec Ita e Anonymous Italia avevano infatti divulgato il risultato di raid successivi che il cattivo stato di manutenzione di siti e database avevano regalato ai delinquenti veri – quelli che commerciano in dati nel dark web - indirizzi, nome, cognome, tessera di partito e sindacale di migliaia di italiani, comprese gli appartenenti alla Polizia e all’Esercito, anche in pensione.
Ugualmente, un gruppo apparentemente più sofisticato di questi ultimi, Anonplus, aveva bucato un server non aggiornato della Siae, la Società Italiana Autori ed Editori, sfruttando in maniera innovativa una falla nota del Content management System (CMS) a cui si affidavano, l’open source Drupal. In questo caso all’interno del dump, la copia dei dati, grande 4 GigaByte, c’erano non solo i nomi degli artisti che si affidano alla Siae per tutelare il proprio lavoro creativo ma perfino la loro posizione creditizia e in alcuni casi l’Iban bancario. La Siae, che inizialmente aveva provato a negare la gravità del fatto, come tutti quelli che vengono bucati, alla fine ha dovuto ammetterlo.
Sempre a novembre le aziende di cybersecurity Cybaze, Yoroi e anche Fincantieri, hanno messo in guardia il paese dalla presenza degli APT russi numero 28 e 29, quelli che avevano attaccato Hillary Clinton per intenderci, scoprendo la loro presenza all’interno della supply chain della Marina Militare Italiana e una serie di attacchi contro la nostra industria navale.
L’Italia, lo diciamo da tempo, è terreno di scorribande per agenti esterni che hanno interesse a manipolare le percezioni e destabilizzare il paese, minando la fiducia delle persone, indirizzando la rabbia sociale, o demoralizzando chi lo difende. Non ce lo possiamo più permettere.
Per questo la buona notizia è che il Governo ha deciso di fare sul serio mettendo in campo una serie di azioni, la prima delle quali sintetizziamo cosi: basta con le gare al ribasso quando si tratta di cybersecurity. E poi altre due azioni: l’avvio di un centro di un Centro nazionale di valutazione e certificazione dei beni acquistati e una serie di misure di sicurezza per proteggere gli Operatori dei Servizi Essenziali (OSE) definiti dalla Nis, la direttiva Europea per la sicurezza delle reti e delle infrastrutture. Staremo a vedere se funzioneranno.
Venerdì prossimo è il Black Friday, giornata di “sconti imperdibili”, lunedì è il Cyber Monday, festa del consumismo elettronico per eccellenza e ci aspettiamo, come hanno già avvertito McAffe, Kaspersky, Sophos, Avira, DarkTrace, un’impennata delle truffe telematiche che noi temiamo si avvantaggeranno di quei dati. Il meccanismo è sempre lo stesso, quello del phishing, una tattica fraudolenta di impiego delle informazioni personali per indurre gli utenti in rete a fornire password e altri dati sensibili a siti web che sembrano legittimi, ma che non lo sono. Anche invitando a cliccare link e allegati in grado di inoculare virus, spyware e ransomware all’interno dei computer approfittando dell’umana fiducia verso interlocutori conosciuti o ritenuti affidabili come appunto le aziende derubate che ci inviano sconti e voucher nella casella di posta personale.
Nei giorni precedenti l’attacco al provider Pec il cybercrimine organizzato aveva usato, guarda caso, proprio la posta certificata per inoltrare all’intera rubrica delle vittime il trojan bancario Gootkit che, simulando scambi di informazioni da parte di presunti fornitori di servizio per adempiere gli obblighi relativi alla fatturazione elettronica, invitava ad aprire documenti e link dannosi.