Black Week: l’Italia sotto attacco risponde male anzi malissimo

Indice

Oggi è il terzo giorno di attacco da parte di AntiSec (Anonymous + LulzSecITA). Su Twitter impazzano messaggi di ogni tipo ma ancora una volta non si può non prendere atto dell’inadeguatezza architetturale e gestionale dei sistemi colpiti ma anche, permettetemi, di molti commenti lasciati su Twitter.

Parliamo prima dei target

Cosa si può dire di sistemi le cui password sono salvate “in chiaro” ossia senza alcun meccanismo utile ad oscurarle. Quando l’hacker attacca la banca dati riesce a leggere senza problemi le password e potenzialmente riutilizzarle per vari scopi.

Cosa si può dire di strutture informatiche che fanno uso di database obsoleti e chiaramente non sufficientemente performanti a reggere il confronto con soluzioni più moderne, flessibili e addirittura gratuite.

Cosa si può dire di utenti che si ostinano ad usare come password parole come “pippo”, “mare”, “password”, incuranti non solo del fatto che il loro account sia a rischio ma, soprattutto, che il loro account possa diventare una breccia per l’intera struttura informatica.

Cosa si può dire di amministratori di sistema che permettono di adottare password com queste, senza attivare le regole minime per le password.

 

Parliamo ora dei twitter

Ho letto tantissimi commenti a questi attacchi, ne prendo uno solo come esempio:

Con SQL MAP siamo tutti hacker

Ecco questo è un esempio di commento inutile: prima di tutto perché non è così. SQL Map bisogna imparare a usarlo, che è ben diverso da lanciare i comandi. Inoltre un commento come questo denota che il commentatore ha capito ben poco della situazione. Allora forse è meglio chiarirla a soggetti come questo utente: la situazione è che un gruppo di hacker, più o meno esperti (non è dato saperlo), sta pubblicando dati più o meno importanti, provenienti da strutture che dovrebbero gestire diversamente questi dati dimostrando due cose:

  1. Sanno come ottenere questi dati da banche dati provenienti un po’ da tutta Italia
  2. L’incapacità/la negligenza dei target di gestire adeguatamente dei dati.

Con il GDPR approvato, ciascuna di queste aziende deve pagare per le violazioni commesse, soprattutto se non corrette e le multe sono estremamente salate. Cito un tweet di Nattu:

Eppure sarei curioso di sapere quante segnalazioni il garante ha ricevuto a valle di questi attacchi. Ecco, vedete…non è una questione dello strumento usato ma degli effetti che esso produce. Ne parleremo meglio in un articolo che farò uscire al termine della “settimana nera” ma sarebbe necessario che anche chi commenta adottasse un certo criterio nella valutazione della situazione.

Il sito http://www.fimmgpisa.org/public/ è ancora così dopo 24 ore dall’attacco.

 

Ad ogni modo quello che è certo è che ci sono strutture che ancora non hanno preso provvedimenti a seguito degli attacchi e la cosa suggerisce che non vi siano abbastanza controlli da parte della struttura. Chissà quando mai se ne accorgeranno. Non resta, a questo punto, che aspettare la fine della “settimana nera” sperando che la mattanza non sia troppo pesante. Cara mia Italia Digitale, non è questo ci si augura da te.