“La paura si è impadronita di voi, ed il Caos mentale ha fatto sì che vi rivolgeste all’attuale governo. Vi hanno promesso ordine e pace in cambio del vostro silenzioso, obbediente consenso. In questa settimana cercheremo di porre fine a questo silenzio.”
#FifthOfNovember 2018
L’ultimo post sul blog “ufficiale” di Anoynoums Italia lascia ben poco all’immaginazione (come dimostra la citazione in testata):
A partire dal 29 ottobre, rilasceremo i dati dei siti violati, uno ogni sera, per ricordare a questo paese quello che ha dimenticato.
Anonymous Italia
Non è certo la prima volta che Anonymous Italia effettua proclami di questo tipo, anche se questa volta l’impatto delle disclosure sembrerebbe essere davvero alto: la prima trance ha visto “cadere” Enti del calibro della Facoltà Scienze Agrarie Università Milano, con la pubblicazione dell’anagrafica_docenti emails e telefono, l’Università degli Studi Aldo Moro di Bari, l’Accademia Radio Televisiva Roma e il Dipartimento Ingegneria Informatica Università di Roma. La seconda, di martedì 30 ottobre, vede invece realtà collegate al mondo del lavoro e dei sindacati, come l’Unione Industriale Torino, Confindustria Livorno o l’Associazione piccole e medie imprese del Lazio.
Ovviamente non sappiamo (e francamente neanche mi interessa) se i dati pubblicati sono reali oppure no e, soprattutto, a quando risalgono: immagino che gli inquirenti siano già al lavoro per capirlo e per identificare i responsabili.
Tuttavia, ammesso che si tratti effettivamente di materiale proveniente da attacchi informatici ai danni degli istituti indicati, lo scenario è inquietante e proietta ombre oscure sullo stato delle infrastrutture informatiche del nostro Paese.
Non che sia una novità, visto che già alcune reti governative importanti sono state oggetto di attacchi informatici, come la Farnesina nei primi mesi del 2017 o la sottrazione di documenti dai PC di palazzo Chigi e dal ministero della Difesa, dell’Interno, della Marina Militare e del Parlamento Europeo, peraltro sempre ad opera di Anonymous, che rivendicò l’attacco via Twitter.
E proprio sul loro feed di Twitter si possono vedere altri attacchi ai danni di siti di Enti pubblici, come il defacement del FitoSIRT della Regione Toscana o della Provincia di Lodi (attacco motivato da alcuni comportamenti poco graditi di Sara Casanova, Sindaca di Lodi).
La situazione di allerta è confermata anche dall’aumento esponenziale degli attacchi e delle minacce informatiche negli ultimi tempi, tanto che ormai da qualche tempo il cyberspazio è, ufficialmente “scenario di guerra”.
Se da un lato anche in Italia qualcosa si sta muovendo, anche attraverso l’istituzione di realtà come il CNAIPIC -Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche- e proprio pochi giorni fa a Pisa, in Toscana, è stato inaugurato il primo “centro regionale sulla cybersecurity”, siamo ancora ben lontani da considerare la Rete un posto sicuro: spesso sono disattese, se non proprio sconosciute, anche le semplici misure minime di sicurezza, previste ormai nella normativa dall’agosto 2015 !
Occupandomene direttamente per lavoro, ho avuto modo di vedere come spesso il problema sia proprio una errata percezione di quella che è la sicurezza informatica, anche da parte dei professionisti dell’IT: non è sufficiente un buon firewall o costosi appliances a layer 7 se il portale esposto al pubblico è, ad esempio, vulnerabile a banali attacchi sql-injection. O se il personale non è stato opportunamente addestrato a rispondere ad attacchi di social engineering o all’uso di credenziali di accesso sicure. In certi contesti, addirittura, l’enforcing delle policy viene visto più come un fastidio che una risorsa, e quindi aggirato, vanificando gli investimenti sulle infrastrutture.
L’esperto di sicurezza Bruce Scheiner, nel suo ultimo libro, più volte ribadisce che l’attuale Era della sorveglianza massiva rappresenta un danno per l’intera società e che “spazi di manovra”, anche se non sempre legali, servono come stimolo per incentivare l’innovazione e la crescita, anche culturale, di una società. Lungi da me, sia ben chiaro, supportare o anche solo giustificare azioni come quelle di Anonymous che, tuttavia, ci ricordano quanto sia importante, oggi più che mai, avere la consapevolezza dei pericoli della Rete. Analogamente a come siamo stati abituati, sin da piccoli, a chiudere la porta e le tapparelle, per evitare che i ladri possano entrarci in casa, dovremmo sempre di più prendere consapevolezza che, oggi, i ladri entrano nella nostra “casa virtuale” attraverso il filo della fibra o dell’ADSL, rubandoci i dati, spiandoci o prelevando direttamente dal conto corrente i nostri soldi.
E’ quindi necessario non solo sviluppare comportamenti di difesa ma anche intraprendere, e qui mi rivolgo direttamente alla classe Politica, percorsi di istruzione e di informazione per informare adeguatamente i cittadini dei nuovi pericoli cyber. E siamo già in clamoroso ritardo, che sta costando ogni giorno milioni di euro sia di danni che di mancate opportunità commerciali ed occupazionali, che in altri Paesi anche europei stanno già sfruttando.