Non ho mai smesso di essere “sbirro”. Se ce l’hai nel sangue, non è aver riconsegnato tesserino e pistola a modificare il tuo Dna. E così ho lasciato che il mio cervello si arrovellasse per cercare di capire cosa fosse successo. Avvezzo ai giochi di simulazione, poi, ho raccolto le poche informazioni disponibili per tentare di ricomporre un puzzle certamente non facile.

Qualche giorno prima del cosiddetto “inconveniente” delle PEC, il Computer Emergency Response Team della Pubblica Amministrazione (la sala operativa che monitora quel che accade ed allerta in caso di pericolo) ha comunicato l’arrivo di mail ingannevoli su caselle di posta certificata. Non è stato certo quel “phishing” inusuale a causare la sottrazione di centinaia di migliaia di account e password, ma il fatto è senza dubbio correlato al “data breach” perché entrambe le azioni hanno il medesimo obiettivo: rubare le parole chiave ed accedere alla corrispondenza blindata.

Mi fermo qui. A mio avviso occorre fare un passo indietro. Chi può avere interesse a curiosare nei cassetti virtuali di 9.000 magistrati? Difficilmente gli idealisti di Anonymous. Molto più probabilmente il crimine organizzato, vuoi per sapere cosa sta succedendo in certi procedimenti e reimpostare la difesa di determinati imputati sulla base di quel che “il nemico” sa o sta per fare, vuoi per aprire o modificare oppure cancellare documenti e allegati.

Senza invocare lo spirito di Sun Tzu o di Von Clausewitz, chi ha un simile obiettivo ha sostanzialmente due vie che a quanto pare sono state percorse entrambe.

Punto di partenza la conoscenza degli indirizzi PEC delle singole caselle (rese pubbliche sui siti web delle Amministrazioni per agevolare il rapporto tra cittadini, professionisti, imprese ed uffici pubblici) e dei fornitori del relativo servizio.

Il primo tentativo a quanto pare è stato quello di inoltrare in maniera massiva una serie di messaggi contenenti l’invito areimpostare la password o a verificare i propri dati cliccando su uno dei soliti link fraudolenti, con la speranza che un elevato numero di destinatari potesse cascare in trappola rivelando così le proprie credenziali.

Il secondo esperimento, invece, si può essere basato sull’individuazione di una falla nella protezione dei dati da parte del soggetto gestore del servizio di posta elettronica certificata. Le tecniche di penetrazione sono le più diverse ed esistono mille strumenti che permettono di “bussare” alla porta di un sistema informatico e studiare le risposte che questo dà a fronte di una miriade di sollecitazioni opportunamente pre-impostate sulla base di bug o exploit conosciuti. Al posto di fiamma ossidrica o grimaldelli, i pirati sferrano l’arrembaggio con software specifici e con l’abilità da free-climber che permette loro di arrampicarsi anche dove sembrano mancare appigli.

Proprio solo questa seconda via può aver portato ad un così lauto bottino.

La lettera con cui il gestore delle PEC raccomandava agli utenti di cambiare la password – in una situazione del genere – è quanto meno buffa. La colpa della sottrazione delle credenziali di accesso non è dell’utilizzatore del servizio (che non ha cambiato frequentemente la propria sequenza segreta di caratteri alfanumerici o l’ha trascritta su un post-it poi appiccato in bella vista sul monitor), ma di chi non ha protetto quei database delicatissimi e non si è nemmeno accorto della esfiltrazione di dati che inevitabilmente ha provocato un traffico anomalo in uscita dai server (segnale che avrebbe impensierito anche i meno esperti).

Pensare (o sperare) che le responsabilità siano in capo alle migliaia di persone “intestatarie” delle mailbox PEC è fuorviante. Richiamare l’attenzione sull’allarme lanciato dal CERT-PA mi sembra utile solo a sottolineare l’esistenza di un disegno criminoso che, a tutti i costi e senza lasciare nulla di intentato, era mirato ad accedere a ben determinate informazioni.

Dichiarare che non c’è stata perdita di dati è etimologicamente improprio. In assenza di una meticolosa analisi (che su centinaia di migliaia di caselle mail credo richieda più di qualche giorno) è azzardata qualunque asserzione rassicurante: la disponibilità di file non esclude che qualcun altro se ne sia fatto una copia (il furto di informazioni non prevede che il derubato ne perda il possesso) né assicura che quanto memorizzato non sia stato manipolato.

Nel frattempo anche la politica si pone delle domande e si aspetta delle risposte. Speriamo che almeno il senatore Giarrusso, che ha presentato un’interrogazione parlamentare, riesca a farsi dire cos’è successo…

(estratto di un post pubblicato sul sito del Fatto Quotidiano; qui il post integrale)

Umberto Rapetto
Generale GdF in congedo – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity 
Consigliere di amministrazione di Olidata con delega alla cybersecurity