RSS

Archivi tag: regione

Regione Lazio, un attacco informatico da approfondire

Da quanto tempo si parla di ransomware? E di phishing? Nel 2005 si parlava già di ransomware sui telefoni cellulari, pertanto si tratta di argomenti sufficientemente maturi per essere conosciuti dagli addetti ai lavori o da chi utilizza tecnologie digitali di comunicazione (dall’e-mail ai sistemi di messaggistica), quindi non è più il caso di spalancare occhi e bocca di fronte a notizie come quella dell’attacco informatico alla Regione Lazio.

Sulla vicenda abbiamo letto di tutto: virus, hacker, ipotesi terroristiche, coinvolgimento dell’FBI. All’origine di tutto, per l’ennesima volta, ci sarebbe stato un episodio di imprudenza: un dipendente (in smart working, ma questo dovrebbe essere un particolare poco rilevante) ha incautamente cliccato su un link pericoloso contenuto in un messaggio di posta elettronica ritenuto innocuo, portandosi in casa uno di quei ransomware che ha crittografato e blindato i dati dei sistemi informatici della Regione, mettendoli in ginocchio e bloccando il sistema di gestione delle vaccinazioni, delle prenotazioni e delle certificazioni. Le indagini di Polizia Postale e FBI metteranno in luce particolari sicuramente interessanti, per capire in che tempistiche si è verificato l’attacco (il clic avventato, secondo alcune fonti, sarebbe avvenuto settimane fa) e come è stato concretamente attuato.

Certo, è auspicabile che siano state adeguate le tecnologie utilizzate nella realizzazione del piano di disaster recovery di qualche anno fa. Ne riporto un estratto nell’immagine, onde evitare che la fonte istituzionale non renda più disponibili queste informazioni, che includono anche l’ammontare di denaro pubblico investito a suo tempo:

Indubbiamente il numero di episodi legati a questo tipo di attacchi è in crescita e il fatto che il bersaglio sia un servizio di primaria importanza e di pubblica utilità rende ancora più evidente la necessità di soluzioni di sicurezza idonee a proteggere le informazioni gestite da un sistema. Il rapporto Clusit 2021, ha evidenziato che gli “attacchi gravi di dominio pubblico” (quelli che hanno avuto conseguente importanti su economia, società e politica) tra il 2019 e il 2020 sono aumentati del 12%, in buona parte originati da un’organizzazione criminale.

 
Lascia un commento

Pubblicato da su 4 agosto 2021 in news

 

Tag: , , , , , , , ,

Voto elettronico, la sfida di Regione Lombardia. Anche agli hacker

La scelta innovativa di Regione Lombardia di optare per il voto elettronico suscita più di qualche perplessità dal punto di vista operativo e tecnologico. Hermes Center, un’associazione di hacker costituitasi come centro studi sulla trasparenza e i diritti umani digitali, ha chiesto al Pirellone la documentazione di Smartmatic (l’azienda a cui è stato appaltato il sistema) per valutare protocolli e sistemi di sicurezza, ricevendo in risposta un due di picche. O meglio, ricevendo la documentazione dell’offerta tecnica “senza le parti secretate in quanto contenenti dati relativi a codici sorgente e informazioni coperte da proprietà intellettuale nonché dati attinenti alla sicurezza”.

La prassi di non rendere pubblico nulla (per non renderlo accessibile e suscettibile di violazioni) potrebbe apparire saggia, ma in questo contesto è opinabile: soprattutto nel mondo digitale, dove la sicurezza assoluta non esiste, è noto quanto sia opportuno e costruttivo portare una tecnologia alla conoscenza e all’attenzione di una platea di esperti che ne possano individuare le vulnerabilità. Ad ogni buon conto, se tutto è segretato, l’idea trasmessa è quella che il sistema debba essere completamente inaccessibile, al punto che da Smartmatic è stato dichiarato che il meccanismo della votazione è a prova di hacker (soprattutto va detto che, durante le operazioni di voto, le voting machine non saranno connesse a Internet).

Tutto a posto, dunque? Speriamo. Nel frattempo Matteo Flora, esperto di sicurezza informatica, ha scoperto che

“svariati gigabyte di software, certificati, istruzioni relative a parti di software del voto, pezzi di codice, macchine virtuali e password, nomi utenti e chiavi di autenticazione di possibili amministratori del sistema” di Smartmatic, l’azienda che si è aggiudicata l’appalto del Pirellone, sono stati accessibili a chiunque in Rete. Flora dichiara di aver effettuato martedì 17 ottobre «una ricerca sulle fonti aperte, ovvero i siti pubblicamente disponibili a chiunque sappia dove e come cercare» e di aver trovato un server contenente istruzioni per scaricare programmi che portavano «ad almeno un altro spazio in cloud, anch’esso privo di protezioni. «Tre ore dopo aver avvisato Cert Pa (l’organizzazione dell’Agenzia per l’Italia Digitale che raccoglie le segnalazioni di possibili vulnerabilità, ndr) non ho riscontrato più alcuna possibilità di accedere agli spazi», prosegue l’esperto presentando prove dello scambio con la struttura di Agid. Fonti del «Corriere» confermano la presenza in chiaro di materiale rilevante. Rilevante, incalza Flora, perché «nel lasso di tempo in cui è stato accessibile (sulla quale durata non ci sono elementi per fare ipotesi, ndr) potrebbe essere stato sfruttato per studiare l’infrastruttura di voto ed individuare eventuali falle o alterare il codice». Non ci sono prove che sia effettivamente successo ed è bene ricordare che domenica i tablet non saranno connessi. (fonte)

Una parte di quelle informazioni secretate nella documentazione trasmessa a Hermes Center sarebbe stata davvero disponibile? Forse sì, alcuni dati del sistema erano accessibili, anche se non è possibile sapere per quanto tempo. Secondo Smartmatic non si tratta di dati sensibili e confidenziali. Ciò nonostante, tre ore dopo la segnalazione inoltrata da Matteo Flora, tutti gli accessi sono stati chiusi. Ora, in un articolo pubblicato dall’agenzia Agi si ipotizza che per le operazioni di voto di domenica possa essere utilizzata una piattaforma software diversa da quella prevista, Election-360.

Se la voting machine sarà quella visibile in foto (e illustrata nella scheda informativa del Referendum), potrebbe trattarsi di un dispositivo simile al modello Smartmatic A4-200. E’ diverso da quello indicato nella Proposta Tecnica di Smartmatic, che però è datata ottobre 2015 e che recita appunto “A causa del rapido evolversi della tecnologia e della disponibilità di nuovi component, le citate configurazioni potrebbero subire delle modifiche nel momento della consegna delle VM. Si garantisce tuttavia che in questo caso le modifiche saranno migliorative”. In realtà potrebbe anche trattarsi di un altro dispositivo ancora. A prova di hacker non deve essere il tablet in se’, ma la piattaforma di raccolta ed esposizione dei risultati.

L’auspicio è che le aperture scoperte da Matteo Flora non abbiano realmente consentito l’accesso a qualcuno in grado di alterare il sistema. Detto questo, ritengo che l’argomento del voto elettronico e la sua sicurezza siano di estrema importanza, indipendentemente dal tipo di iniziativa e dalle parti politiche interessate: se il futuro degli eventi elettorali va in questa direzione, l’affidabilità e attendibilità del sistema è un tema di interesse collettivo. Soprattutto perché, come ho ricordato sopra, nel mondo digitale la sicurezza assoluta non esiste e questo non esclude ovviamente il voto elettronico, per il quale devono essere garantiti anonimato e certezza.

 
Commenti disabilitati su Voto elettronico, la sfida di Regione Lombardia. Anche agli hacker

Pubblicato da su 20 ottobre 2017 in tecnologia

 

Tag: , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: