Attacco Hacker al MIUR: facciamo alcune riflessioni

Indice

Il MIUR è stato attaccato come si legge bene in questo articolo dell’AGI. La situazione italiana nei confronti della CyberSecurity si è rivelata, ancora una volta, insufficiente a fronteggiare una minaccia che potrebbe avere radici abbastanza eterogenee.

I database hackerati sono 52, 6048 le email di singole scuole, 63 di coordinatori, 355 del forum “Indire”, 42 di Xforum, 148 di dirigenti scolastici, 155 di referenti, 6808 di insegnanti, e altri 13 mila circa collegati al mondo della scuola ma con indirizzi privati, da Virgilio.itVirgilio.it a Yahoo.it

Questi i numeri riportati nell’articolo dell’AGI, ovviamente il rischio è l’accesso abusivo ad account (come caselle di posta e quanto altro) da parte di malintenzionati. Cresce la rabbia sul web esponenzialmente a quanto cresce la rabbia nella vita reale ma pochi sembrano accorgersene e dare la giusta importanza. La CyberSecurity italiana dovrebbe cambiare nome e chiamarsi “semplicemente” CyberDefence perchè di iniziative efficaci di prevenzione ce ne sono davvero poche.

Bisogna anche fare alcune considerazioni: un attacco così in grande scala può avere un collegamento con le recenti elezioni 2018 ed i risultati ottenuti. L’ingegneria informatica, che l’autore dell’articolo pone a valle dell’attacco, potrebbe essere stata usata anche a monte (quasi sicuramente) provocando un accesso illecito ma semplificato a tutto quel volume di archivi. Non è che sia così tanto strano in fondo: valgono le stesse riflessioni fatte per Hacking-Team.

Chi controlla i log di accesso ai DB? Chi ne registra eventuali anomalie attraverso i log? Ci sono strumenti che effettuano questi controlli in modo automatizzato, perchè non sono stati configurati per questo? Una query lanciata fuori dall’orario di lavoro dovrebbe insospettire qualcuno se proviene da un IP non autorizzato. Come si può agire in modo così trasversale su più informazioni?

Sono tutte domande che andavano poste prima, in fase di simulazione ma in questo Paese ci si limita a raccogliere cocci. Quando impareremo? Bisogna accettare l’idea che il personale di Anonymnous faccia parte delle nostre strutture istituzionali: apparentemente sembra estremo ma in realtà è solo possibile. Che le informazioni trattate da enti istituzionali devono attenersi strettamente a regole e procedure definite, sicure, note e condivise.

L’Italia va avanti con la frase “ricordate di cambiare le vostre password” che come ha giustamente fatto notare qualcuno suona come una presa in giro. Tra l’altro il cambio di password è relativo quando si ha accesso alla bancadati perchè nessun hacker che ha accesso al database va a leggere la vostra password cifrata: semplicemente la sostituisce con la sua e accede. Capite dov’è il problema? C’è una desolante ignoranza che dovrebbe far riflettere tutti, istituzioni per prime ma c’è un problema: l’ignoranza si paga…sempre…e i primi a pagare sono i cittadini.