Anche il sito dell’Archivio di Stato è stato hacherato con oltre 5mila user e password violate e diffuse sui social. Tra gli account anche manager di Eni e della Juventus. A rivendicare il cyber attacco, sferrato la scorsa settimana, sono stati gli hacktivisti di LulzSec Italia con questo messaggio su Twitter: “Ops, pensiamo ci sia un problema, date un occhiata a questi 5465 utenti con password in chiaro”.
“Banalmente mi sembra di tipo Sql injection”, ha spiegato Raoul Chiesa, uno dei primi hacker etici italiani, celebre con lo pseudonimo di “Nobody”, intervistato da Valentino Di Giacomosul quotidiano Il Mattino. “In due parole significa”, ha aggiuntol’informatico torinese “che se il programmatore scrive male il codice software anche se non hai una password ti puoi accreditare e accedere al sito come amministratore. Ormai è un tipo di attacco così semplice, diffuso da più di 10 anni, ci sono persino dei programmini sul web che riescono automaticamente a compiere queste incursioni. È incredibile che nel 2019 possano esserci ancora queste vulnerabilità strutturali su siti dello Stato dove transitano dati e informazioni che impattano non solo sulla sicurezza nazionale, ma anche su quella delle nostre imprese e dei cittadini in generale. Bisognerebbe investire di più, ma non c’è la volontà di farlo”.
Come mai allora questa vulneralità su alcuni siti dello Stato?
Per una ragione economica e per una mancanza di cultura in cybersicurezza, ha detto Raul Chiesa nel corso dell’intervista. In particolare il problema iniziale è “nelle gare di appalto affidate a chi fa il prezzo più basso” e non a chi fornisce le migliore competenze e gli strumenti più efficaci nel settore: “Il problema è che quando lo Stato fa delle gare di appalto per la creazione di questi portali si cerca sempre di rivolgersi a chi fa il prezzo più basso”, ha detto Chiesa. “Dopodiché chi si è aggiudicato la gara fa partire una serie di subappalti a catena: poi alla fine chi realmente opera per costruire il sito magari è un ragazzo che prende 30 euro al giorno e non si può pretendere che oltre ad essere un esperto di grafica possa essere pure capace ad impostare determinati sistemi di sicurezza per rendere meno vulnerabile il sistema”, ha sottolineato l’esperto di sicurezza informatica a livello internazionale. Infine Raul Chiesa lancia anche un messaggio alle Istituzioni per rendere i siti web dello Stato a prova di cybersecurity: “Non esiste la consapevolezza della minaccia a tutti i livelli: dallo Stato, alle imprese, fino ai semplici cittadini. Eppure in Italia siamo molto bravi, ma i migliori programmatori fuggono all’estero proprio perché qui non abbiamo un’adeguata cultura della sicurezza informatica”.
Una sottovalutazione che mette in pericolo la sicurezza nazionale su tutti i fronti, anche in campo militare. “L’Italia”, spiega il sottosegretario alla Difesa con delega alla cybersecurity, Angelo Tofalo, “è ancora indietro rispetto alla consapevolezza della minaccia. Noi per la prima volta abbiamo messo al centro dell’agenda questa tematica, come ministero abbiamo costituito un gruppo di progetto per creare un nuovo Comando sulla cyber con alla guida un Generale a tre stelle. Tutti gli uffici della Difesa saranno messi insieme per migliorare lo scambio informativo tra i vari apparati”. Da oltre un anno il Cisr (Comitato interministeriale per la sicurezza della Repubblica) ha dato la delega alla cybersecurity al vicedirettore del Dis, Roberto Baldoni.
