RSS

Archivi tag: segretezza

Cosa dimostra l’indagine nata dal servizio di Report su Microsoft ECM

01 Feb

L’indagine aperta per l’ipotesi di accesso abusivo a sistema informatico nei confronti di un tecnico ministeriale del distretto torinese, per come la vedo io, ha già avuto un effetto di rilievo: confermare le lacune nella gestione del sistema finito sotto la lente di Report. Le notizie diffuse nelle scorse ore, infatti, evidenziano che il ministero si è reso conto di quegli accessi solo dopo averne avuto notizia dalla trasmissione televisiva, e non da un alert interno.

Osservatori ed esperti del settore lo hanno evidenziato in tutti i modi: Microsoft ECM non è una cimice o un software-spia (definizioni errate date da alcuni), è uno standard di Endpoint Management, un prodotto regolarmente disponibile sul mercato e utilizzato in tutto il mondo per normalissime e necessarie operazioni di monitoraggio dello stato di un computer, distribuzione di aggiornamenti di sicurezza, installazione di software, supporto tecnico da remoto.

I vertici del Ministero hanno dichiarato che non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo non è un impedimento tecnico, poiché è stato riscontrato che notifiche e richieste di consenso agli utenti possono effettivamente essere disattivate. Certo, queste disattivazioni lasciano tracce che possono essere rilevate, ma il punto è proprio questo: vengono effettivamente rilevate?

Stiamo parlando dell’infrastruttura informatica del Ministero della Giustizia, di cui fanno parte i computer di magistrati che trattano dati molto riservati: se fosse attivo un controllo sulla disattivazione di notifiche e richieste di consenso, con l’invio dei relativi alert a figure responsabili della sicurezza dell’infrastruttura, dovrebbero scattare immediatamente le necessarie procedure di verifica, dando prova dell’efficacia della governance del sistema. In questo caso, invece, l’indagine della Procura è scattata in seguito a un esposto del Ministero della Giustizia datato 24 gennaio, dopo la pubblicazione – avvenuta il 21 gennaio da parte di Report – del video in cui il GIP di Alessandria Aldo Tirone spiega di aver consapevolmente fatto effettuare alcune prove con il supporto di tecnici informatici.

Queste evidenze, purtroppo, non trasmettono solo la smentita dell’impossibilità di disattivare notifiche e richieste di consenso all’utente, ma vanno ad un livello più alto, escludendo l’esistenza di un controllo efficace su eventuali disattivazioni non dichiarate. In questo momento, quindi, nell’occhio del ciclone sta finendo chi ha segnalato una seria vulnerabilità organizzativa, mentre l’attenzione dovrebbe puntare ad individuare e affrontare i problemi che l’hanno generata

 
Lascia un commento

Pubblicato da su 1 febbraio 2026 in news

 

Tag: , , , , , , , , , , , , , , , ,

Ministero della Giustizia e Microsoft ECM sotto la lente di Report

26 Gen

Il servizio anticipato da Report nei giorni scorsi sul software di controllo installato nei computer del Ministero della Giustizia ha suscitato perplessità e preoccupazioni nei magistrati, sul fronte politico e nell’opinione pubblica. Prima di esprimermi ho atteso la messa in onda del servizio, per vederne il contenuto e formarmi un’opinione basata su informazioni più complete. Risultato: il vero problema non è tanto il software, quanto la mancanza di informazioni – o di chiarezza – sulla sua governance.

Le premesse, agli occhi e alle orecchie di un tecnico informato estraneo alla vicenda, indicavano essenzialmente che, per la gestione centralizzata di tutti i computer del Ministero, viene utilizzato Microsoft ECM, un software che per sua natura è utile, legittimo e regolarmente utilizzato in molte organizzazioni sia pubbliche che private, descrizione che i giornalisti di Report hanno dato correttamente, specificando che non si tratta di un software-spia, anche se alcune testimonianze nel servizio lo hanno etichettato in modo errato e fuorviante con termini come “cimice” e “trojan di Stato”.

Per inciso: quando dico “tutti i computer del Ministero” parlo di circa 40mila computer utilizzati da tutti coloro che lavorano alle dipendenze del Ministero. Un contesto in cui è necessario gestire l’inventario di hardware e software, avere il controllo delle licenze, programmare ed eseguire tutti i dovuti aggiornamenti per la sicurezza ed effettuare operazioni di helpdesk. Un’infrastruttura di grandi dimensioni richiede una gestione centralizzata di queste esigenze: per comprensibili difficoltà logistiche, non è pensabile che questa gestione sia affidata a un tecnico, ma sarebbe complesso anche per un team di tecnici pronti a intervenire fisicamente su ogni singolo pc.

Microsoft ECM consente di superare questi limiti e, tra le varie funzionalità, prevede quella di Remote Control, ad esempio, progettata ovviamente per effettuare assistenza tecnica da un altro dispositivo. Generalmente, prima di un intervento effettuato da remoto, è previsto che l’utente dia il consenso all’attività e accetti il collegamento. Tuttavia, è effettivamente possibile impostare un’opzione che permette di avviare quel collegamento anche senza consenso e questo è chiarito dalla stessa Microsoft che, nella documentazione tecnica, spiega esplicitamente che lo strumento “può anche monitorare gli utenti senza il loro permesso o consapevolezza” a seconda di come viene configurato.

Il software include anche strumenti di Software Metering per raccogliere dati sull’uso del computer (è possibile rilevare quali applicazioni vengono aperte, per quanto tempo e da quale utente, in background e senza notifiche all’utente) e permette di effettuare, sempre senza interazioni con l’utente, attività approfondite di ispezione su configurazione di sistema, utenti, file a scopo di inventario di hardware e software, così come l’esecuzione di script e comandi da remoto per estrarre informazioni o file senza che appaia nulla sullo schermo dell’utente.

I vertici del Ministero dichiarano che Microsoft ECM non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo è un impedimento procedurale e non tecnico, poiché è stato riscontrato che le notifiche e le richieste di consenso agli utenti possono effettivamente essere disattivate. Le possibilità di accesso “stealth” ad un pc dipendono dalla disattivazione intenzionale di questi controlli e di tutte queste operazioni, ovviamente, resta traccia. A quanto pare, tuttavia, nessuno rileva queste tracce, ne’ chiede conto di queste operazioni, come è stato dimostrato dai test effettuati da un giudice – il gip di Alessandria Aldo Tirone – con la collaborazione di un tecnico informatico interno, che per mesi e in più occasioni ha effettuato varie prove di collegamento remoto senza riscontrare alcun tipo di alert e, in seguito, senza ricevere alcuna segnalazione da chi dovrebbe avere la governance del sistema.

Occorre dunque considerare un aspetto importante: queste caratteristiche di Microsoft ECM, se non vincolate, lo rendono più adatto alla gestione dei dispositivi di organizzazioni che, per loro natura, trattano dati meno riservati e sensibili. Pensiamo ad esempio ai computer collegati ai display che mostrano i dati di arrivi e partenze presenti in aeroporti e stazioni ferroviarie, oppure a totem informativi o pubblicitari: in sintesi, è lo strumento ideale per la gestione di postazioni non presidiate (e che quindi non hanno un utilizzatore che deve dare un consenso alle attività di aggiornamento o manutenzione).

Sorgono quindi di conseguenza almeno due domande. La prima: per quale motivo, nel 2019, per la gestione e la manutenzione software dei computer del Ministero della Giustizia a tutti i livelli – da quelli amministrativi fino a quelli in uso ai magistrati – la scelta è caduta su Microsoft ECM? La seconda: come vengono gestite le informazioni relative alle operazioni effettuate senza trasmettere segnalazioni agli utenti?

Ricevere risposta a tali quesiti potrebbe, forse, contribuire a rendere meno fondate le perplessità sorte su questo software e a trasmettere la percezione di un Ministero che ha il controllo della situazione. Sicuramente una soluzione che consenta una gestione ottimale delle attività di supporto, manutenzione e aggiornamento è necessaria ad una realtà come quella del Ministero della Giustizia, soprattutto pensando alla sicurezza dei dati e ricordando che in un recente passato ci sono stati episodi allarmanti come l’attacco messo in atto nel 2024 dall’hacker Carmelo Miano, che riuscì a violare i server del Ministero della Giustizia, della Guardia di Finanza e di Telespazio, non con software di controllo remoto, ma utilizzando credenziali reali di magistrati e personale amministrativo carpite grazie a un malware trasmesso ai pc di due dipendenti del Ministero. Probabilmente privi di aggiornamenti o adeguate protezioni.

 
1 Commento

Pubblicato da su 26 gennaio 2026 in news

 

Tag: , , , , , , , , , , , , , , ,

Protetti e spiati

11 Feb

Qual è il mestiere di chi lavora per un’agenzia di intelligence? Raccogliere ed elaborare informazioni, senza limiti sugli strumenti utilizzabili, e parte integrante di questa attività è ovviamente lo spionaggio. Per cui non troveremmo nulla di stupefacente nell’apprendere che i servizi segreti USA (cioè la CIA) e quelli tedeschi (cioè la BND) hanno spiato le comunicazioni di oltre un centinaio di Stati per mezzo secolo. Ma il problema è nel “come” hanno condotto per decenni quell’attività di spionaggio, cioè utilizzando i dispositivi di crittografia prodotti da un’azienda svizzera, la Crypto AG. I Paesi adottavano quei dispositivi allo scopo di mettere in sicurezza le proprie comunicazioni, ignorando un’informazione fondamentale: la Crypto era “controllata” – dal punto di vista azionario, quindi a livello di proprietà – proprio da CIA e BND.

L’azienda ha iniziato questa attività durante la seconda guerra mondiale, trovando nell’esercito USA il suo primo cliente. Cavalcando l’evoluzione tecnologica, è cresciuta fino ai giorni nostri, fornendo a vari Paesi nel mondo i propri dispositivi in grado di criptare le comunicazioni più riservate e protette, che però servizi segreti americani e tedeschi erano perfettamente in grado di decodificare. CIA e BND avrebbero acquisito la proprietà della Crypto nel 1970, mediante una fondazione con sede nel Liechtenstein.

Secondo quanto ricostruito dall’inchiesta congiunta dal Washington Post e dalle redazioni giornalistiche della ZDF (emittente tedesca) e della SRF (emittente svizzera), l’agenzia di intelligence avrebbe ceduto le proprie azioni nel 1994, mentre la CIA sarebbe rimasta azionista fino al 2018, quando la proprietà è passata all’azienda svedese Crypto International, che in un comunicato pubblicato in questi giorni (addirittura sulla propria homepage) prende le distanze da tutta la vicenda, definendola “molto angosciante”.

Questa partnership sembrerebbe, a tutti gli effetti, uno dei segreti meglio custoditi durante la Guerra Fredda, che emerge ora proprio da questa inchiesta, che rivela un’enorme operazione di controllo, indicata prima con il nome in codice “Thesaurus” e poi “Rubicon”, e che l’inchiesta definisce “il colpo di stato dell’intelligence del secolo”.

In pratica, i governi clienti di Crypto pagavano inconsapevolmente miliardi di dollari a USA e Germania Occidentale perché potessero leggere le loro comunicazioni più riservate e la “maschera” di azienda operativa in un Paese neutrale come la Svizzera conferiva alla stessa Crypto un’etichetta di affidabilità che le permetteva di entrare sia in mercati alleati che in Paesi “ostili” (ad esempio Libia, Iraq, Iran). Nel portafoglio di Crypto c’erano anche l’Italia e lo Stato Vaticano (che nel frattempo, però, non avrebbero più rinnovato i contratti di fornitura). Assenti Russia e Cina, dato che induce a pensare che i due Paesi non riponessero fiducia nel produttore svizzero.

Sicuramente la vicenda non si chiude qui e avremo modo di parlarne di nuovo, molto probabilmente con nuovi dettagli!

 

 
1 Commento

Pubblicato da su 11 febbraio 2020 in news

 

Tag: , , , , , , , , , , ,