LA STORIA DELLA COMPROMISSIONE DELLE PEC
Avrete ovviamente sentito che c’è stato un grave “attacco alle PEC”,
alla posta elettronica certificata di un gestore italiano, con
compromissione di 500mila account, di cui 98mila della Pa collegata al
Cisr (il Comitato interministeriale per la sicurezza della Repubblica,
che comprende i ministeri della Giustizia, dell’Interno, della Difesa,
degli Esteri, dell'Economia e dello Sviluppo Economico, la presidenza
del Consiglio dei ministri e dell'Autorità delegata), per 3mila domini
(fra pubblici e privati) coinvolti, blocco dei tribunali, in particolare
dei servizi informatici degli uffici giudiziari dei distretti di Corte
di Appello, e conferenza stampa dei vertici della nostra intelligence,
secondo la quale sarebbe l’attacco “più grave avvenuto nel 2018".
Tanto grave e inusuale la vicenda, e inusuale anche la conferenza
stampa - hanno sottolineato con insistenza i media - da far supporre
allora che tutto sia stato ben chiarito. Invece i punti interrogativi
sono tanti.
Ripercorriamo brevemente le informazioni. A dare per primo la notizia è
questo articolo del Corriere della Sera, il 14 novembre
<
https://milano.corriere.it/notizie/cronaca/18_novembre_14/giustizia-civile-tribunali-tilt-attacco-mail-magistrati-bea4f8d0-e84b-11e8-b8c4-2c4605eeaada.shtml>.
(Attacco hacker, tribunali in tilt. Timori per le mail dei magistrati)
“Nel mirino degli hacker - recita il sommario dell’articolo - il centro
dati Telecom di Pomezia, dove in tre edifici l’azienda gestisce 4.200
server. Csm, consiglieri in allarme”. L’articolo spiega che non si
tratterebbe di un disservizio del ministero: “ma «probabilmente del
furto delle credenziali» della posta certificata gestita da Telecom”. Si
bloccano dunque le attività connesse con la PEC, a cominciare dal
Processo civile telematico (Pct).
Per saperne qualcosa di più bisognerà però aspettare il 19, quando il
Dis, il Dipartimento delle informazioni per la sicurezza, rilascia una
conferenza stampa, dopo una riunione del tavolo tecnico del Cisr. Allora
si viene a sapere che: l’attacco è stato individuato il 12 novembre; che
poco dopo (ore 17-19) è scattato un blocco precauzionale del servizio;
che il 13 è stata inviata notifica al CNAIPIC, il Centro nazionale
anticrimine informatico per la protezione delle infrastrutture critiche;
che sono seguite varie riunione di valutazione, monitoraggio e
contenimento di vari organi governativi e di intelligence. Fino ad
arrivare alla conferenza stampa con le informazioni citate qui
all’inizio sul numero e tipologia di caselle compromesse. Dove si dice
anche che l’attacco "non è partito dall'Italia" e che "la polizia
postale sta indagando ma non ci sono evidenze di esfiltrazione
(sottrazione, ndr) di documenti ma solo di dati personali dei titolari
delle Pec" (Adnkronos
<
https://www.adnkronos.com/fatti/cronaca/2018/11/19/mila-caselle-pec-colpite-attacco-hacker_8plKO45N4uAfUJ2QvNzboM.html?refresh_ce>).
Alcune testate presenti alla conferenza stampa, non tutte, precisano che
le password erano cifrate (Difesaesicurezza
<
https://www.difesaesicurezza.com/cyber/grave-cyber-attacco-alla-pubblica-amministrazione-in-italia-tramite-la-pec/>).
Tuttavia non si nomina il fornitore di posta certificata, il che genere
una certa confusione
<
https://www.ilpost.it/2018/11/20/pec-attacco-informatico/> tra i
lettori. Anche perché l’invito ai singoli utenti sembra essere, urbi et
orbi, di cambiare la password (Corriere
<
https://www.corriere.it/cronache/18_novembre_20/attacco-hacker-pec-ora-vanno-cambiate-password-accesso-e83118e0-ec5c-11e8-8c58-7b683e5c5fc2.shtml>).
“È la prima volta che leggo di un attacco informatico in vasta scala in
cui non si dice chi è l'attaccato”, twitta l’ex parlamentare ed ex
Presidente del Comitato di Indirizzo dell’Agenzia per l’italia digitale
Stefano Quintarelli. “Avete mai letto "trafugate 20 milioni di
credenziali da un servizio di social network" senza citarlo? Non
capisco. Dire chi è l'attaccato riduce la sicurezza di tutti?”
Mentre passa perlopiù inosservato un comunicato
<
https://web.archive.org/web/20181124174359/https://www.telecompost.it/manuali/InformativaGDPRUtenza.pdf>
già del 14 novembre del servizio PEC di TI Trust Technologies,
controllata di Telecom Italia, intitolato “informativa sulla possibile
compromissione delle credenziali personali di accesso al servizio PEC
(art. 33 del Regolamento UE 2016/679 GDPR)”. Luogo: Pomezia. A fronte di
azioni di controllo - dice l’informativa - “abbiamo individuato una
possibile compromissione delle credenziali personali di accesso al
servizio PEC, precedentemente acquisite attraverso violazioni messe in
atto da soggetti terzi ignoti. Non vi sono comunque evidenze che siano
stati violati o prelevati i contenuti delle caselle di PEC”. Segue il
consiglio di cambiare password, anche altrove se si usa la stessa su
altri servizi. E si specifica che verrà anche fatta comunicazione al
Garante della Privacy. La stessa notifica è visibile anche sul sito del
ministero dell’Interno.
<
https://web.archive.org/web/20181124172554/https://pec.interno.it/webmail/login.jsp>
Il riferimento all’art 33 del regolamento GDPR riguarda l’obbligo di
notifica di una violazione dei dati personali all’autorità di controllo.
Ma il GDPR prevede anche (art 34) l’obbligo di avvisare senza
ingiustificato ritardo anche gli utenti, in caso di simile violazione. A
loro una comunicazione è arrivata, inclusi i privati? Il comunicato
citato sembra dire di sì (quando parla di comunicazioni inviate in
precedenza). Alcuni utenti online segnalano
<
https://www.tecnoandroid.it/2018/11/22/pec-hacker-rubano-500000-account-433536>
di aver ricevuto
<
https://www.hdblog.it/2018/11/20/pec-attacco-hacker-baldoni/#comment-4204120283>
una comunicazione anodina che parlava di “rafforzamento delle misure di
sicurezza”, ovvero: “La informiamo che per attuare alcune misure tese a
rafforzare le misure di sicurezza per l’utilizzo del servizio si e’ reso
necessario procedere al reset della sua password di accesso”. Era questa
la comunicazione?
Sono una ventina i gestori PEC accreditati da AGID
<
https://www.agid.gov.it/it/piattaforme/posta-elettronica-certificata/elenco-gestori-pec>,
l’Agenzia per l’Italia Digitale, che deve esercitare attività di
vigilanza sulle loro attività. Nel 2018 le caselle PEC si aggirano sugli
9 milioni per oltre 300mila domini. I bandi di gara per servizi di posta
elettronica e posta elettronica certificata possono valere milioni di
euro, come si vede dai contratti
<
https://www.giustizia.it/giustizia/it/contentview.page?contentId=ART42119&previsiousPage=mg_1_29_20_1>
proprio del Ministero di Giustizia.
Ora è stata presentata un’interrogazione
<
http://www.senato.it/japp/bgt/showdoc/showText?tipodoc=Sindisp&leg=18&id=1083089>
parlamentare da un senatore M5S che chiede tra le altre cose (tipo un
Commissario straordinario per la cybersicurezza) “quali misure siano
state adottate per ridurre gli effetti dell’attacco”. Secondo il
comunicato
<
https://giustizia.usb.it/index.php?id=20&tx_ttnews%5Btt_news%5D=106242&cHash=fd72d0631e&MP=63-442>
dell’Unione sindacale di base - che ricorda anche un blocco dei servizi
informatici della Corte Suprema di Cassazione avvenuto a settembre -
bisognerebbe “nazionalizzare e internalizzare i servizi”. L’avvocato
Stefano Aterno rilancia
<
https://www.cybersecurity360.it/nuove-minacce/tribunali-sotto-attacco-compromesse-le-pec-dei-magistrati-allarme-data-breach-per-milioni-di-dati-sensibili/>
sostenendo la necessità di “una società di informatica dedicata alla
giustizia, alle investigazioni del Ministero dell’Interno e gestita
quindi dallo Stato, che faccia anche formazione, crei software, hardware
e che sia comunque più controllata”.
Restano le domande: come (e quando) è avvenuta la violazione di
sicurezza? che tipo di falla è stata utilizzata? come nasce il controllo
di sicurezza che ha portato a individuare la compromissione? c’erano
state avvisaglie prima o di altra natura? come erano cifrate le
password? che tipo di comunicazione hanno ricevuto gli utenti interessati?
da: Guerre di Rete di Carola Frediani
--
"Faccio un lavoro che di fatto non è un lavoro, direi che è un modo di
vivere" L. Bertell
"tecnologie appropriate"
GPG keys available on keyserver
https://pgp.mit.edu/
Ox 44CC 163A
Fingerprint: 946A 499A E30B 78B6 BAE1 F5B8 A03A 5077 44CC 163A