Cyber Security: le vulnerabilità di Roma

Non fanno in tempo a passare 48 ore che Arturo Di Corinto (giornalista presso Repubblica ed esperto di Cyber Security) pubblica un altro articolo il cui titolo è ben chiaro:

Nuovo sito del Campidoglio, “Così gli hacker rubano l’identità anche a Raggi”

In buona sostanza il problema è questo: è stato fatto un portale per il Comune di Roma che consente il recupero della password in caso di smarrimento attraverso l’inserimento del solo codice fiscale. Tuttavia il sistema è stato programmato per l’inserimento delle wildcards e quindi questo consente all’hacker di usare un’informazione parziale per ottenere un dato completo. Facciamo un esempio: scrivendo ” anto* ” all’interno di un motore di ricerca potrei ottenere ” antonio “, “antonietta”, etc….

In sostanza è come se dicessi “trova tutte le parole che hanno come radice anto“. Come scrive correttamente il giornalista…

È qui che, grazie al bug riscontrato, è possibile utilizzare il carattere jolly, un asterisco che permette di trovare l’indirizzo esatto di posta elettronica associato a quel codice fiscale e, successivamente, tentare di violarlo per operare al posto della persona, in questo caso la sindaca Raggi. Il problema è che una volta conosciuta l’email di qualcuno si può usarla per un attacco di phishing (le email malevole che ti chiedono di resettare dati personali o ti fanno cliccare su un allegato infetto), per risalire alla password con un attacco di tipo ” vocabolario” cioè con la generazione automatica di tutte le password fatte da nomi di senso compiuto, oppure cercarla nei database online che contengono le credenziali violate negli ultimi anni: se la persona non sa che le sue credenziali sono state rubate è possibile che usi ancora le vecchie password. E risulta che sia il caso di almeno due account di posta di assessori del Campidoglio.

Il vero problema è che è il sistema informatico è costato al Comune 8.000.000 di euro per avere l’esposizione ad un potenziale rischio che oggi si potrebbe mitigare senza alcun problema. Non è l’unico caso di pericolo informatico a cui è soggetto il Comune di Roma ma diciamo che è una delle più recenti. Ancora una volta la falla è causata da una leggerezza nel sistema informativo e nell’applicazione di procedure di sicurezza: password, modalità di recupero, protezione del DB

Francamente per 8 milioni di euro ci si aspettava qualcosina di più…

Edoardo Limone
A proposito di Edoardo Limone

Ha svolto per 12 anni l'attività di consulente direzionale per le principali amministrazioni centrali del Paese, tra cui: Ministero della Difesa, Ministero di Giustizia ma anche per le principali Direzioni Generali dell'Unione Europea su progetti afferenti iniziative per la gestione di infrastrutture critiche. Consulente di Cyber Security nell'analisi di strategie atte a rafforzare consapevolezza e sicurezza tecnica all'interno delle infrastrutture ICT. Per maggiori informazioni leggere questa pagina.