Immagine: Pixabay
A fine luglio, un post del CERT-PA, una struttura che opera all'interno dell'Agenzia per l’Italia Digitale e che si occupa degli incidenti di sicurezza informatica nella sfera delle pubbliche amministrazioni, ha scosso le fondamenta della sicurezza informatica nazionale. Circa il 67% dei siti delle pubbliche amministrazioni è vulnerabile a causa del mancato aggiornamento dei CMS — i sistemi di gestione dei contenuti delle pagine web.A produrre questi dati, però, non sono stati gli stessi tecnici del CERT bensì un gruppo di hacker dell’hacklab di Mestre, mes3hacklab, che hanno messo in piedi un osservatorio della sicurezza informatica dei siti della pubblica amministrazione e hanno anche presentato i loro risultati alla conferenza Italian Hacker Camp di inizio agosto.I membri dell’osservatorio, però, sottolineano come “anche le altre vulnerabilità riscontrate possono avere un impatto potenzialmente molto grave” — come riportato nel post in cui spiegano nel dettaglio la loro analisi, potrebbero esserci infatti casi di Exploit Chain, concatenando diverse vulnerabilità fino ad ottenere una reverse shell sul sistema attaccato.Recentemente, i nuovi attacchi di rogue0 alla piattaforma Rousseau del Movimento 5 Stelle hanno portato di nuovo alla mente la questione della pubblicazione delle vulnerabilità: l’hacker etico che aveva fatto la segnalazione al M5S, conosciuto con il nickname di Evariste Gal0ise, è tutt’ora sotto indagine pur avendo segnalato le vulnerabilità secondo i principi della responsible disclosure e aver ricevuto risposta dai tecnici della piattaforma Rousseau.
Pubblicità
“Vista la crescente importanza delle reti informatiche, il periodo storico e i recenti fatti che hanno portato al rilascio di dati sensibili, ci siamo chiesti quanto potesse essere facile scoprire vulnerabilità nei siti della pubblica amministrazione. Per questo abbiamo deciso di istituire l’osservatorio,” spiegano in una mail i membri dell’hacklab, contattati da Motherboard.
In parte si aspettavano di trovare la situazione disastrosa che hanno segnalato, “Già conoscendo i track record di sicurezza dei CMS ci aspettavamo di riscontrare un gran numero di siti vulnerabili, e inoltre,” sottolineano, “in Italia pare non esserci ancora una cultura della sicurezza informatica sufficientemente radicata da mettere in primo piano problematiche di questo tipo.”E secondo i dati rilevati dagli hacker, i siti delle pubbliche amministrazioni sono pieni di problematiche. Fra le vulnerabilità più gravi, i membri dell’hacklab sottolineano quelle di tipo Injection (come RCE, SQL injection), “perché permettono di avere il controllo della macchina che ospita il sito o di estrarre i dati sensibili ivi presenti,” quelle di Cross Site Scripting (XSS), perché permettono la modifica del contenuto e del codice della pagine web “con rischi anche per gli utenti,” e quelle di File Resources (LFI, RFI), “perché permettono la raccolta di informazioni sul sistema ed esecuzione di codice malevolo.”“In Italia pare non esserci ancora una cultura della sicurezza informatica sufficientemente radicata da mettere in primo piano problematiche di questo tipo.”
Pubblicità
Gli stessi principi utilizzati dai ragazzi del mes3hacklab: “Abbiamo segnalato i risultati della nostra analisi al CERT-PA, ottenendo riscontro immediato.” Inoltre, aggiungono, “per eccesso di zelo, stiamo raccogliendo gli indirizzi dei vari responsabili dei siti analizzati e contiamo di contattare ogni singolo Comune. Passati 90 giorni dalle segnalazioni e avendo dato agli interessati il tempo necessario per intervenire, procederemo a pubblicare i risultati della nostra analisi, i data set utilizzati e i tool da noi sviluppati.”
L’azione civica di questi hacker sembra quindi sottolineare l’importanza della collaborazione dei cittadini in un’ottica di attivismo. “Da un lato è estremamente importante che i cittadini si interessino in prima persona del buon funzionamento della pubblica amministrazione,” chiariscono i membri dell’hacklab, che però aggiungono: “siamo un po’ sorpresi dal fatto che sia stato necessario l’intervento di un piccolo collettivo di hacker per segnalare problematiche che, siamo certi, i Comuni stessi potrebbero risolvere prendendo spunto dall’esperienza di alcuni Comuni virtuosi che sono usciti quasi indenni dalla nostra analisi.”Il sogno proibito è quello di poter vedere finalmente tutti questi siti della pubblica amministrazione aggiornati con le ultime versioni dei CMS — in alcuni casi l’ultimo aggiornamento risale al 2015 — e al passo con le patch per le vulnerabilità già individuate.Gli hacker del mes3hacklab, però, non sono molto fiduciosi: “la sicurezza è un processo, pertanto richiede un costante investimento di risorse e un continuo aggiornamento delle conoscenze. Viste queste difficoltà, riteniamo difficile che la Pubblica Amministrazione arrivi a mettere in sicurezza i propri sistemi in tempi brevi e in modo completamente efficace.”Segui Riccardo su Twitter: @ORARiccardo“Viste queste difficoltà, riteniamo difficile che la Pubblica Amministrazione arrivi a mettere in sicurezza i propri sistemi in tempi brevi e in modo completamente efficace.”