Ecco come sono state violate le mail certificate dei ministeri della Giustizia e dell’Interno

startmag.it

15.11.18

Tutti i dettagli sull’attacco hacker contro le poste elettroniche dei ministeri della Giustizia e dell’Interno. Il commento di Umberto Rapetto, generale GdF in congedo, già comandante del GAT Nucleo Speciale Frodi Telematiche

Le infezioni informatiche e gli attacchi cibernetici somigliano molto a determinati malanni che si manifestano solo a distanza di tempo. E così certi assalti hacker vengono a galla quando qualcuno tra le vittime si accorge (tardi) che è successo qualcosa.

A quanto pare è toccato in sorte a due dicasteri in prima linea sui temi della sicurezza e del contrasto alla criminalità. Il Ministero della Giustizia avrebbe diramato una comunicazione a magistrati e a personale non togato per informare che il servizio di comunicazione mail “certificato” è inutilizzabile. In pratica la “PEC” ha cambiato il proprio significato in Posta Elettronica… Compromessa.

Questa la momentanea traduzione di un acronimo che da qualche anno simboleggia l’inviolabilità della mail e che è stato congegnato per mandare in pensione le raccomandate (nel dire “beate loro” ci si deve riferire alle lettere spedite con particolari modalità e non alle colleghe d’ufficio forti di appoggi politici o di altri pregi non desumibili da curriculum).

Il sistema ha una enorme valenza perché i suoi requisiti tecnici comportano il riconoscimento della certezza del mittente, dell’originalità e della immodificabilità del testo del messaggio e degli allegati a questo acclusi, della data e dell’orario di inoltro e di recapito. I meccanismi digitali che meglio di timbri, bolli e registri possono validare l’autenticità di una comunicazione “ufficiale” perdono la loro forza (o addirittura spaventano) al verificarsi della sottrazione delle chiavi di accesso alle caselle mail di giudici, pubblici ministeri, cancellieri o operatori di polizia giudiziaria. A voler semplificare, l’acquisizione fraudolenta delle “credenziali” (account o identificativo personale e password) da parte di malintenzionati si va a tradurre nella possibilità di sostituirsi ai legittimi intestatari di quegli indirizzi postali nell’invio e nella ricezione di messaggi “in carta bollata”.

Se Atene (il ministero della Giustizia) piange, Sparta (il Viminale) non ride. Gli utenti del dicastero dell’Interno, infatti, una volta collegati al sistema di posta accessibile anche via web, si sono trovati dinanzi ad un avviso inequivocabile:

“Clicca qui per leggere l’informativa sulla possibile compromissione delle credenziali personali di accesso al servizio PEC”

Il gestore del servizio – in ossequio a quanto stabilito dall’articolo 33 del Regolamento Europeo in materia di tutela della riservatezza dei dati personali (il numero 679, noto ai più come GDPR) – deve allertare il Garante della Privacy e tutti i soggetti cui si riferiscono i dati così da informarli dell’avvenuta violazione.

Chi ha cliccato sul link evidenziato sulla pagina di “login” al servizio ha trovato una lettera indirizzata al “Gentile Utilizzatore” (che forse in questo momento rischia di essere legittimamente poco “gentile” ma piuttosto infuriato) con cui gli si dice che “a fronte delle azioni di controllo di sicurezza svolte sulla piattaforma PEC” è stata individuata “una possibile compromissione delle credenziali personali di accesso al servizio PEC, precedentemente acquisite attraverso violazioni messe in atto da soggetti terzi ignoti”. La lettera – inquietante come una cartella Equitalia dall’inconfondibile busta verde – cerca di tranquillizzare il destinatario asserendo che “non vi sono comunque evidenze che siano stati violati o prelevati i contenuti delle caselle di PEC”.

La “missiva” pubblicata online è in realtà il seguito di una comunicazione preliminare che sicuramente è stata inviata non appena è stato riscontrato il “buco” nella recinzione virtuale del sistema. Il testo prosegue con le solite e ritrite raccomandazioni a cambiare la propria password, scegliendone una che corrisponda a requisiti di “robustezza” tali da impedirne l’individuazione da parte di qualche manigoldo.

Peccato che non sia stata “indovinata” o carpita una singola parola chiave di un utente svogliato che aveva scelto la password “Pippo” (comoda da ricordare e anche da digitare vista la sequenza IOP sulla tastiera), ma che la violazione abbia riguardato una inadeguata protezione degli archivi delle credenziali presso il gestore del servizio…

La chiusura della lettera (semplicemente firmata con il nome della società, quasi non vi fosse un responsabile “umano” in grado di sottoscrivere la comunicazione) riduce l’entità dell’accaduto ad un evento di basso profilo: leggere quel “nello scusarci per l’inconveniente occorso, inviamo i nostri migliori saluti” induce a immaginare come il destinatario abbia mentalmente replicato lasciandosi scappare un “ma vaffa…” echeggiato anche su molte scrivanie accanto.

E allora, confortati dalla circostanza che un attacco informatico sia semplicemente un “inconveniente” e non un “gran casino”, possiamo stare tranquilli? Forse no.

Umberto Rapetto
Generale GdF in congedo – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity 
Consigliere di amministrazione di Olidata con delega alla cybersecurity

(articolo pubblicato sul blog di Rapetto all’interno del sito del Fatto Quotidiano