Caro direttore,
ci sono grandi notizie sul fronte cybersecurity!
L’Agenzia per la cybersicurezza nazionale ha appena pubblicato il suo quinto report e giustamente ci tiene a sbandierarlo ovunque. Del resto setacciando la Rete, scandagliando il Deep Web, i suoi tecnici hanno scoperto cose molto interessanti.
Tu per esempio sapevi che i gruppi più attivi per numero di rivendicazioni Ransomware sono stati RansomHub e Medusa? O che “in Italia, a settembre 2024, le tipologie di malware più diffuse sono state: backdoor, progettate per garantire l’accesso remoto non autorizzato a un sistema; information-stealer, progettati per estrapolare le informazioni personali della vittima, e banker, progettati per rubare credenziali bancarie. In Europa sono state banker, loader e information-stealer”?
No, probabilmente non lo sapevi. Nessuno lo sa e nessuno se ne deve preoccupare finché c’è l’Agenzia per la cybersicurezza nazionale che vigila al posto nostro. È bello sapere di poter dormire sonni tranquilli, visto che con la domotica, i dispositivi connessi, le app bancarie non ci sentiamo mai realmente proprietari dei nostri dati e persino dei nostri soldi.
Certo, fa sorridere che l’Agenzia per la cybersicurezza nazionale (con i nuovi vertici) sia così attenta a ciò che le accade attorno, e stringe alleanze all’insegna della fuffa formativa, mentre poi non sapesse nulla di ciò che le stesse accadendo in casa. Nonna diceva sempre che il posto più buio è sotto la candela, ma qui si esagera.
Ti leggo infatti ciò che scrive oggi Il Messaggero: “Dati rubati, il software della Cybersecurity progettato dagli hacker di Equalize. Il gruppo coinvolto nell’inchiesta di Milano faceva anche la manutenzione dei sistemi dell’Agenzia nazionale. Passando da quegli apparati il commando è riuscito a penetrare nei server del Viminale”.
Ora, se la questione non facesse tremare le vene ai polsi, ci sarebbe da scoppiare in profonde e incontenibili risate. “Nunzio Samuele Calamucci, 44 anni, socio e super tecnico di Equalize, […] ha arruolato chi ha creato il forziere e si occupa della manutenzione dell’Agenzia per la cybersicurezza nazionale (Acn), istituita nel 2021 con il compito di tutelare la protezione nello spazio cibernetico, oltre che prevenire e mitigare il maggior numero di attacchi”.
Ieri ho letto con grande interesse l‘articolo pubblicato su Start a firma del professor Alegi. Ho scoperto che in queste Agenzie – per non parlare di Dis, Aisi e Aise, ovvero le articolazioni dei nostri Servizi segreri – per nostra fortuna non entra chiunque ma sulla base di appositi patentini che che confermino la caratura morale: i “Nulla Osta di Sicurezza” (NOS). Ecco, se il Messaggero stamani dice che “chi ha creato l’infrastruttura per la Strategia nazionale di cybersicurezza, adottata dalla Presidenza del consiglio, fa parte della squadra” di cyber-delinquenti, allora devo immaginare che questi individui avessero il NOS.
E questo mi porta a chiedermi chi distribuisca il NOS e sulla base di quali criteri? La fede calcistica? L’altezza? Te lo danno se giuri di non essere un delinquente? Viene regalato arrivando a tot punti del supermercato come premio di consolazione quando non ne hai abbastanza per arrivare al set di pentole in acciaio inossidabile cui miravi davvero o si può vincere di domenica alla pesca di beneficenza dell’oratorio?
È notevole osservare come, almeno sulla carta, il nostro Paese abbia adottato tutte le precauzioni possibili e immaginabili, dotandosi di una Agenzia ad hoc (in attesa di quella ancora più ad hoc solo sulla protezione del dato già annunciata dal sottosegretario alla presidenza del Consiglio, Alessio Butti), ma poi nello svolgimento del compitino si perda tra talpe e situazioni che paiono uscite da un film con Totò e Peppino.
Direttore, lo ripeto: sdrammatizzo per non piangere, perché più leggo e più mi informo più mi convinco che questo sia il peggior tentativo eversivo della storia repubblicana. Riporto qua uno stralcio dell’articolo pubblicato sul quotidiano romano: “In una conversazione intercettata con Massimiliano Camponovo, annotano in un’informativa gli investigatori del Nucleo operativo del comando provinciale dei carabinieri di Varese, Calamucci «chiarisce l’analogia tra un sistema istituzionalizzato di cui avrebbe fatto parte e l’odierno sistema privato» di Equalize, che sfrutta «la rete di relazioni per ottenere l’accesso diretto ai dati del Sistema informativo interforze Sdi». Racconta del suo passato nell’intelligence insieme a Mirko Lapi, analista con una carriera nell’Arma alle spalle e sedici anni di attività nel II Reparto informazioni e sicurezza dello Stato maggiore della Difesa. Illustra Calamucci: «Noi eravamo nell’unità, quella che oggi si chiama Acn. Mirko era nel Copasir e lavorava le informazioni, quello che stai facendo tu oggi. “Rosberg” metteva in piedi la piattaforma, ha sempre detenuto la trasmissione dei dati riguardo all’infrastruttura del governo e l’università di Colchester», campus nella contea inglese dell’Essex dove secondo gli inquirenti il gruppo ha reclutato almeno «due ragazzi». Quando l’infrastruttura del Copasir viene sostituita dall’Agenzia per la cybersicurezza nazionale, sono proprio «i ragazzi a metterla in piedi e nell’appalto che mi mandarono all’epoca hanno preso tutta l’infrastruttura del Ced». In sostanza, «tutte le informazioni che passano» provengono da una piattaforma che hanno creato e di cui seguono la manutenzione. «Quello è il nostro accesso ai dati dello Sdi», conclude Calamucci. Così bucano la rete e gli affari di Equalize prosperano”.
Direttore, nel nostro Paese capita sovente che, per una lettura tutta italica del conflitto di interesse, controllore e controllato spesso coincidano. Mai però era capitato – almeno che io ricordi – che non si riuscisse a distinguere tra le guardie e i ladri perché questi ultimi avevano arruolato le prime.
Per fortuna vedo che la questione non fa trasecolare solo noi: pure Matteo Flora, imprenditore e docente che di queste cose ne mastica parecchio, ha iniziato a porre domande cui tutti vorremmo presto sentire una risposta. Magari in audizione al Copasir.
Chiarito che nel #dossieraggio non sono stati #Hacker, ma dei dipendenti infedeli…
DOVE ERA l’Agenzia per la #CyberSicurezza Nazionale (#ACN) mentre alcune delle basi dati più fondamentali per la #sicurezza del paese venivano abusate ?https://t.co/chrR8MCJWZ
— Matteo G.P. Flora (@lastknight) October 30, 2024
Tutto ciò mi ricorda quel vecchio film di Woody Allen in cui lui di giorno lavorava per una agenzia che installava casseforti, poi però di notte, sotto ipnosi, compiva furti nelle ville in cui aveva predisposto gli impianti di sicurezza. Ma Allen, appunto, agiva sotto ipnosi. A me invece basterebbe svegliarmi da questo incubo.
Un sempre più avvilito,
Claudio Trezzano
