Cyber Security: le vulnerabilità di Roma

Indice

Non fanno in tempo a passare 48 ore che Arturo Di Corinto (giornalista presso Repubblica ed esperto di Cyber Security) pubblica un altro articolo il cui titolo è ben chiaro:

Nuovo sito del Campidoglio, “Così gli hacker rubano l’identità anche a Raggi”

In buona sostanza il problema è questo: è stato fatto un portale per il Comune di Roma che consente il recupero della password in caso di smarrimento attraverso l’inserimento del solo codice fiscale. Tuttavia il sistema è stato programmato per l’inserimento delle wildcards e quindi questo consente all’hacker di usare un’informazione parziale per ottenere un dato completo. Facciamo un esempio: scrivendo ” anto* ” all’interno di un motore di ricerca potrei ottenere ” antonio “, “antonietta”, etc….

In sostanza è come se dicessi “trova tutte le parole che hanno come radice anto“. Come scrive correttamente il giornalista…

È qui che, grazie al bug riscontrato, è possibile utilizzare il carattere jolly, un asterisco che permette di trovare l’indirizzo esatto di posta elettronica associato a quel codice fiscale e, successivamente, tentare di violarlo per operare al posto della persona, in questo caso la sindaca Raggi. Il problema è che una volta conosciuta l’email di qualcuno si può usarla per un attacco di phishing (le email malevole che ti chiedono di resettare dati personali o ti fanno cliccare su un allegato infetto), per risalire alla password con un attacco di tipo ” vocabolario” cioè con la generazione automatica di tutte le password fatte da nomi di senso compiuto, oppure cercarla nei database online che contengono le credenziali violate negli ultimi anni: se la persona non sa che le sue credenziali sono state rubate è possibile che usi ancora le vecchie password. E risulta che sia il caso di almeno due account di posta di assessori del Campidoglio.

Il vero problema è che è il sistema informatico è costato al Comune 8.000.000 di euro per avere l’esposizione ad un potenziale rischio che oggi si potrebbe mitigare senza alcun problema. Non è l’unico caso di pericolo informatico a cui è soggetto il Comune di Roma ma diciamo che è una delle più recenti. Ancora una volta la falla è causata da una leggerezza nel sistema informativo e nell’applicazione di procedure di sicurezza: password, modalità di recupero, protezione del DB

Francamente per 8 milioni di euro ci si aspettava qualcosina di più…