Mi piacerebbe (ma è un sentimento comune tra gli addetti ai lavori) essere smentiti qualche volta quando parliamo di (in)sicurezza informatica perchè, che lo vogliate o no, il comparto pubblico raramente può dirsi veramente “sicuro” e questo pare che non spaventi gli amministratori pubblici.
Il 14 luglio, il gruppo hacker italiano LulzSec, ha pubblicato su Twitter il seguente post:
https://twitter.com/LulzSec_ITA/status/1018133804085587973
Il testo parla chiaro ma, ancor più chiaro, parla la scelta delle password adottate dai dipendenti e dalle strutture in questione. Mi piace l’idea di spezzare la lancia a favore dell’utente azienda@osa.it che, tra tutti, ha la password più decente rispetto al resto della lista. Il punto però è un altro: lo avevamo detto anche in un post di questo sito. All’epoca era il MIUR ad aver “sottovalutato” la questione sicurezza ed in uno sfogo mi ero rivolto proprio al gruppo:
Sai LulzSecITA questo Paese non impara mai: ma proprio mai. Ma ci rendiamo conto che parliamo del MIUR di qualcosa di istituzionale, qualcosa che potrebbe prevedere un’autenticazione a due fattori, qualcosa che potrebbe far uso di una firma forte per autenticarsi e invece…un MD5 schifoso che tutti noi sappiamo quanto sia fragile. Sai LulzSecITA, vorrei che capissero davvero il significato di questo attacco, che non si lasciassero distrarre dall’aspetto mediatico ma che “capissero e collaborassero” ma la verità è che non lo faranno. E la cosa più grave sono gli amministratori IT che consentono quel tipo di password. No, non capiranno…non capiranno mai. Mi spiace per loro…per voi…per noi…
Questo accadeva a marzo 2018 e ora, come si dice gergalmente, “è passato l’angelo e ha detto AMEN”. LulzSec impartisce una seconda lezione ad un ministero diverso questa volta, un ministero che più di tutti dovrebbe fare attenzione alla sicurezza. Mi perdonerà l’utente sulla lista maria teresa.bove ma la scelta della password “mariateresa” è a dir poco ridicola se non addirittura grave.
Ed eccoci di nuovo al punto finale di quello sfogo: No, non capiranno…non capiranno mai.
Per quello sfogo ricevetti una telefonata di un caro amico che mi chiese se non pensassi di essere troppo drastico e pessimista. Ricordo che la mia risposta fu solo “…aspetta e vedrai che ne salta fuori un altro e un altro ancora”.
Ma probabilmente l’allegato più grave in assoluto è quello riportato di seguito.
Si tratta delle password del SuperAmministratore, Amministratore e Operatore dell’ANACDB e, come potrete immaginare dal nome del database e dal nome delle tabelle, non è difficile intuire il contenuto dei dati.
A questo punto mi verrebbe da chiedere a LulzSec…
Ciao LulzSec, e niente ormai ci si ritrova a parlare tramite Tweet o post ogni morte di Ministero (una volta era morte di Papa)…mi ricordano tanto i funerali italiani, quelli dove si tirano le fila e si fa “l’aggiornamento” delle vicende parentali. Ecco, ecco qui un altro bel “disastro” di sicurezza informatica. La domanda è: secondo voi- perchè ora mi sono stancato di farmela e la rivolgo a voi- impareranno mai?
Vi prometto che qualora rispondessero non esiterò a pubblicare la risposta, intanto versiamo due lacrime per l’inefficienza istituzionale. Che vergogna ragazzi.