Tutti si aspettavano che la mitica frase “ho fatto un guaio” pronunciata dall’indimenticabile Francesco Schettino venisse rispolverata da qualcuno tra i soggetti responsabili della violazione delle PEC istituzionali. Nulla. Il silenzio tombale. Mentre i sistemi di posta elettronica certificata si adagiavano su un fianco a ridosso di una virtuale Isola del Giglio, chi doveva evitare il naufragio digitale probabilmente era già sceso a terra.
Il disastro – meno visibile di quello della Costa Concordia – è riuscito a non finire sulle prime pagine dei quotidiani o in apertura di giornali radio e televisivi. Se l’azienda – cui sarebbe imputabile la mancata adozione di misure di sicurezza proporzionali alla sensibilità delle informazioni custodite e alla criticità dei servizi prestati alla Pubblica Amministrazione – è un appetibile inserzionista, è difficile trovare chi osa azzardare critiche perché potrebbero esserci ripercussioni negative negli introiti pubblicitari o comunque venirsi a creare comprensibili antipatie che è meglio evitare.
La sciagura – impercettibile per il cittadino medio ma sconvolgente per gli addetti ai lavori – non ha innescato lo sdegno di esperti e sedicenti tali. A voler esser buoni con la platea di fenomeni da convention, c’è da pensare che la perdita della favella sia imputabile al semplice non avere la dichiarata competenza per affrontare il tema o al non sapere dove andare a copiare qualcosa da spacciare per propria opera dell’ingegno. A voler esser meno indulgenti, il silenzio degli innocenti(sti) è da ricondurre all’inopportunità di far pollice verso quando nell’arena c’è un qualunque gruppo imprenditoriale che si avvale di un esercito di consulenti in cui può esser redditizio esser reclutati o continuare a militare.
Non ho mai smesso di essere “sbirro”. Se ce l’hai nel sangue, non è aver riconsegnato tesserino e pistola a modificare il tuo Dna. E così ho lasciato che il mio cervello si arrovellasse per cercare di capire cosa fosse successo. Avvezzo ai giochi di simulazione, poi, ho raccolto le poche informazioni disponibili per tentare di ricomporre un puzzle certamente non facile.
Qualche giorno prima del cosiddetto “inconveniente” delle PEC, il Computer Emergency Response Team della Pubblica Amministrazione (la sala operativa che monitora quel che accade ed allerta in caso di pericolo) ha comunicato l’arrivo di mail ingannevoli su caselle di posta certificata. Non è stato certo quel “phishing” inusuale a causare la sottrazione di centinaia di migliaia di account e password, ma il fatto è senza dubbio correlato al “data breach” perché entrambe le azioni hanno il medesimo obiettivo: rubare le parole chiave ed accedere alla corrispondenza blindata.
Mi fermo qui. A mio avviso occorre fare un passo indietro. Chi può avere interesse a curiosare nei cassetti virtuali di 9.000 magistrati? Difficilmente gli idealisti di Anonymous. Molto più probabilmente il crimine organizzato, vuoi per sapere cosa sta succedendo in certi procedimenti e reimpostare la difesa di determinati imputati sulla base di quel che “il nemico” sa o sta per fare, vuoi per aprire o modificare oppure cancellare documenti e allegati.
Senza invocare lo spirito di Sun Tzu o di Von Clausewitz, chi ha un simile obiettivo ha sostanzialmente due vie che a quanto pare sono state percorse entrambe.
Punto di partenza la conoscenza degli indirizzi PEC delle singole caselle (rese pubbliche sui siti web delle Amministrazioni per agevolare il rapporto tra cittadini, professionisti, imprese ed uffici pubblici) e dei fornitori del relativo servizio.
Il primo tentativo a quanto pare è stato quello di inoltrare in maniera massiva una serie di messaggi contenenti l’invito a reimpostare la password o a verificare i propri dati cliccando su uno dei soliti link fraudolenti, con la speranza che un elevato numero di destinatari potesse cascare in trappola rivelando così le proprie credenziali.
Il secondo esperimento, invece, si può essere basato sull’individuazione di una falla nella protezione dei dati da parte del soggetto gestore del servizio di posta elettronica certificata. Le tecniche di penetrazione sono le più diverse ed esistono mille strumenti che permettono di “bussare” alla porta di un sistema informatico e studiare le risposte che questo dà a fronte di una miriade di sollecitazioni opportunamente pre-impostate sulla base di bug o exploit conosciuti. Al posto di fiamma ossidrica o grimaldelli, i pirati sferrano l’arrembaggio con software specifici e con l’abilità da free-climber che permette loro di arrampicarsi anche dove sembrano mancare appigli.
Proprio solo questa seconda via può aver portato ad un così lauto bottino.
La lettera con cui il gestore delle PEC raccomandava agli utenti di cambiare la password – in una situazione del genere – è quanto meno buffa. La colpa della sottrazione delle credenziali di accesso non è dell’utilizzatore del servizio (che non ha cambiato frequentemente la propria sequenza segreta di caratteri alfanumerici o l’ha trascritta su un post-it poi appiccato in bella vista sul monitor), ma di chi non ha protetto quei database delicatissimi e non si è nemmeno accorto della esfiltrazione di dati che inevitabilmente ha provocato un traffico anomalo in uscita dai server (segnale che avrebbe impensierito anche i meno esperti).
Pensare (o sperare) che le responsabilità siano in capo alle migliaia di persone “intestatarie” delle mailbox PEC è fuorviante. Richiamare l’attenzione sull’allarme lanciato dal CERT-PA mi sembra utile solo a sottolineare l’esistenza di un disegno criminoso che, a tutti i costi e senza lasciare nulla di intentato, era mirato ad accedere a ben determinate informazioni.
Dichiarare che non c’è stata perdita di dati è etimologicamente improprio. In assenza di una meticolosa analisi (che su centinaia di migliaia di caselle mail credo richieda più di qualche giorno) è azzardata qualunque asserzione rassicurante: la disponibilità di file non esclude che qualcun altro se ne sia fatto una copia (il furto di informazioni non prevede che il derubato ne perda il possesso) né assicura che quanto memorizzato non sia stato manipolato.
Nel frattempo anche la politica si pone delle domande e si aspetta delle risposte. Speriamo che almeno il senatore Giarrusso, che ha presentato un’interrogazione parlamentare, riesca a farsi dire cos’è successo…