Cosa ci ha insegnato l’attacco hacker in Lazio

Se chiudo gli occhi riesco quasi ad immaginarmi la scena: è domenica mattina del 1 Agosto 2021 e un dipendente della regione Lazio solleva il monitor del suo laptop dopo averlo lasciato in standby tutta la notte e la prima cosa che vede non è la schermata di login di Windows ma bensi quella di un Cryptolocker che ha provveduto in maniera efficiente a criptare (ebbene si, ciò che fa un cryptolocker è criptare) i dati del portatile e di tutti i computer ad essi connessi.

Non mi è difficile immaginare che la regione Lazio lavori sotto VPN e pertanto non mi è difficile immaginare con quanta semplicità il virus sia riuscito a diffondersi nella rete aziendale di una regione che ha dimostrato la sua completa ed eclatante incapacità nell’attutire un problema che avrebbe dovuto gestire senza neanche un minuto di down.

Badate bene che la colpa non è della regione Lazio ma è di tutte le regioni Italiane perché potrei scommetterci quello che volete che il sistema di sicurezza dell’INPS o il sistema di controllo dati del Fascicolo Sanitario Elettrico siano hackerabili senza troppe difficoltà e la colpa è soltanto una: poca prevenzione.

Partiamo già dal presupposto che le persone non hanno voglia di rendere «sicuri» i proprio computer e quindi scelgono sempre password semplici come le classiche ‘123456’ oppure ‘pippo’ come di recente si è lamentato un telecronista di Eurosport riguardo alla troppa difficolta nel poter accedere ad un computer a lui vicino.

Se quindi partiamo da questo concetto di ‘non ho voglia di sbattermi’ è ovvio che un primo punto debole della catena saranno tutti i computer utilizzati dai vari dipendenti pubblici che se per qualche ragione poi ricevono un link via email dove c’è scritto ‘scopri come guadagnare soldi con i bitcoin’ non ci pensano due volte a cliccarci sopra senza pesare prima di connette dito con cervello.

Questa combinazione di negligenza è la scintilla che fa scattare quell’incidente che da quasi tre giorni tiene paralizzato l’intero sistema di prenotazione dei vaccini e di tutta la gestione CUP di una delle più importanti regioni Italiane.

Perché capite che l’errore di una persona (che può anche starci, siamo tutti esseri umani infondo) ha molto probabilmente bloccato un intero sistema che avrebbe dovuto reggere invece che piegarsi.

Quando poi dicono «compromessa anche la copia di backup» rido pensando a qualche disco USB connesso al server principale senza una copia RAID protetta o un sistema di isolamento dal circuito principale.

Diamine sono i concetti di base: isolare la rete in modo che il danno sia contenuto: lo facciamo già con i circuiti elettrici e con le porte antincendio … perché non lo facciamo con il sistema informatico della regione Lazio ?

Ovvio poi che se ci facciamo prendere in giro da PornHub perché non riusciamo neppure a gestire un banale sito web come quello dell’INPS cosa possiamo pretendere di fermare un attacco da parte di un cryptolocker.

Ci sono persone che quotidianamente studiano il codice sorgente di un sito web, di un sistema operativo o di un’applicazione con l’unico scopo di trovare buchi di sicurezza da sfruttare per trovare le vulnerabilità e costruirvi sopra virus con l’unico scopo di distruggere e riprodursi.

Se non decidiamo di investire in sicurezza, magari eliminando Windows dai sistemi pubblici in favore di sistemi UNIX, e muoversi verso il concetto di virtualizzazione completa e di sicurezza informatica in stile NSA non credo che i prossimi anni potranno garantirci un sufficiente cuscinetto di sicurezza nei confronti dei prossimi sviluppi tecnologici.

--

--

Web enthusiast, Amazon addicted, New York lover, caffeine dependent and Apple fan (boy).

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Marco Dalprato

Web enthusiast, Amazon addicted, New York lover, caffeine dependent and Apple fan (boy).