L’altro giorno, mentre navigavo su internet, mi è apparsa una notifica che diceva così “LulzSecITA ha iniziato a seguirti”. Forse voi non sapete bene chi sia LulzSecITA e quindi vi invito a fare un giro sul loro Twitter cliccando qui. Però, mentre molti insultano ed offendono soggetti come LulzSecITA, io vi chiedo di fare una cosa diversa…leggete qui.
Dal punto di vista tecnologico-istituzionale, questo è un Paese assai ignorante e molto arrogante. Mi piacerebbe dire che la politica ha imparato dai suoi errori, offrendo una visione più armonica di CyberSecurity ma la verità è che qui, in Italia, la CyberSec è un concetto fatto per lucrare, e tutti si sentono in diritto di farlo. Forse, se cambiassimo ottica, finiremmo per dire grazie a LulzSecITA perché quando hanno pubblicato i risultati dei dati prelevati del MIUR a me sono cadute le braccia e quindi, una volta tanto, cerchiamo di capire bene il messaggio che stanno facendo passare.
7 marzo 2018 – LulzSecITA pubblica sul sito il seguente LINK dal quale potrete spulciare gli archivi che hanno prelevato. È un azione illegale, deprecabile, irregolare…tutto quello che volete voi…MA…ma poi sono andato a spulciare la tabella degli username e delle password che, per delicatezza incollo incompleta.
Guardate attentamente le password che sono state usate. Corte, senza nessun requisito di sicurezza, di senso compiuto…io guardo queste password e mi sembra di sentire le risa di scherno di LulzSecITA…a me viene tanto da scuotere la testa e quindi, mi perdonerete, scrivo direttamente a loro.
Sai LulzSecITA questo Paese non impara mai: ma proprio mai. Ma ci rendiamo conto che parliamo del MIUR di qualcosa di istituzionale, qualcosa che potrebbe prevedere un’autenticazione a due fattori, qualcosa che potrebbe far uso di una firma forte per autenticarsi e invece…un MD5 schifoso che tutti noi sappiamo quanto sia fragile. Sai LulzSecITA, vorrei che capissero davvero il significato di questo attacco, che non si lasciassero distrarre dall’aspetto mediatico ma che “capissero e collaborassero” ma la verità è che non lo faranno. E la cosa più grave sono gli amministratori IT che consentono quel tipo di password. No, non capiranno…non capiranno mai. Mi spiace per loro…per voi…per noi…
Ma io dico, come si può accettare che una password sia “luciana”. Ma dove siamo? Siamo nel 2018 e ancora ci sono persone che mettono come password “ciao”, che se dipendesse da me sarebbero in mezzo ad una strada. Poi mi dicono che molte persone seguono corsi di Ethical Hacking…ma prima di fare una cosa del genere, perché non imparate il buon senso? Mettere “ciao” come password equivale a mettere 0 0 0 sul codice della valigia. Vedete quei numeri e lettere accanto ai nomi tra parentesi? Ecco quella è la versione cifrata della password. Per intenderci…
Password: trilly
Versione cifrata: 664213077e6676beeb65d1664aa31e24
Dove non vedete le parentesi, significa che la password non è stata decifrata. Vorrei dirvi che c’è un abisso tra il numero di quelle decifrate e il numero di quelle non decifrate ma non è così. Ora vi domando, secondo voi, se LulzSecITA non avesse reso nota la notizia…ci sarebbe stato qualche cambiamento? Non mi sorprenderebbe se non ce ne fossero già così…
Ma quale GDPR, quale DPO, qui mancano le basi. Quando impareremo? Quando?….