Prendiamo atto con piacere della nota del Miur che ridimensiona l’attacco di Anonymous a dati riferibili al proprio dicastero. Purtroppo o per fortuna quando i giornalisti hanno una notizia la devono pubblicare. Con attenzione ai suoi effetti in casi come questo dell’attacco informatico di Anonymous al Ministero stesso e ai suoi vertici.
Abbiamo avvisato le autorità prima di pubblicare
E proprio per tale motivo abbiamo avvisato il CERT nazionale e il CERT della Pubblica Amministrazione la sera precedente alla pubblicazione dell’articolo, affinché gli enti e le persone coinvolte fossero avvertite in tempo per porre i giusti rimedi.
CERT è l’acronimo di Computer Emergency Response Team, ovvero Team di risposta alle emergenze informatiche di cui tutti i paesi sono dotati. Il CERT-PA ad esempio è una struttura che opera all’interno dell’Agenzia per l’Italia Digitale ed è preposta al trattamento degli incidenti di sicurezza informatica del dominio costituito dalle pubbliche amministrazioni, quindi anche del Miur.
Quando l’abbiamo avvisata abbiamo avuto una promessa di intervento abbastanza celere. Inoltre abbiamo parlato con i responsabili di altri servizi civili di sicurezza informatica di cui però non possiamo dire nulla per motivi di riservatezza delle fonti.
Gli Anonymous hanno bucato gli uffici scolastici e l’Indire
Detto questo, nell’articolo non si dice che gli Anon abbiano violato direttamente il Miur, ma di aver individuato in rete i dati di molti insegnanti e del personale amministrativo coinvolto nell’attacco. Tuttavia, dalle nostre successive indagini pare che – il condizionale è sempre d’obbligo in questi casi, l’attribution è il compito più arduo nella cybersecurity – ad essere violati potrebbero essere stati l’Ufficio scolastico regionale dell’Emilia Romagna, e l’Indire. Ora, l’Ufficio scolastico regionale appartiene al Ministero dell’Istruzione e l’Indire è l’Istituto di ricerca del Ministero stesso. Perciò bisogna essere cauti a dire che il MIUR non è direttamente coinvolto nell’esfiltrazione dei dati.
Inoltre nella stessa nota ministeriale viene confermato l’attacco precedente alla divulgazione delle email e si dice pure che: “[…] quanto all’attacco del 2 marzo, invece, i dati pubblicati sono effettivamente presenti all’interno di sistemi gestiti dal Cineca presso la sede di via Carcani, che sono stati isolati già dalle ore 20 del 2 marzo e sui quali le e verifiche sono tuttora in corso.
Perché le password ottenute da Anonymous sono utilizzabili
Per quanto riguarda le password, anche qui, il Ministero dice che non sono utilizzabili. In realtà lo sono eccome, devono però essere “decriptate” e, tramite servizi web appositi, è possibile farlo in un battibaleno (non diremo qui quali sono questi siti per ovvi motivi, ma sono visibili nei commenti su Twitter alla nostra notizia). Nella nota si dice che “non si tratta in effetti di password vere e proprie, ma di “hash”, ossia dati derivati dalla password attraverso un’operazione matematica”, ma si omette di dire che questi hash sono, diciamo, “reversibili”, per arrivare alla password vera e propria.
Con “hash” infatti si intende un ”algoritmo di hash” che in informatica elabora dei dati “grezzi” di un processo. Per dirla semplice, L’hash associato agli indirizzi email divulgati dagli anonymous é di tipo “MD5”, che gli esperti di informatica sanno decriptare dal 2004, cioè da 14 anni, al contrario di altri più recenti. L’Md5 è una funziona crittografica che serve proprio all’’autenticazione degli utenti durante la registrazione di un utente su un portale internet. La password scelta durante il processo verrà codificata tramite MD5 e la sua firma digitale verrà memorizzata nel database per poi “verificare” l’autenticità del login.
Le impronte digitali e la crittografia
Dire che la funzione di hash è reversibile significa dire che, noto l’hash (l’impronta) e l’algoritmo utilizzato per la sua generazione, è possibile risalire alla password iniziale.
Un hash crittograficamente sicuro non dovrebbe permettere di risalire ad un testo che possa generarlo. Ma esistono diversi livelli di sicurezza degli hash. Con una tecnica di tunneling (Klima, 2006) si potevano “bucare” in un minuto. E oggi si può fare anche con un attacco forza bruta o con un attacco dizionario in pochi secondi, online e real-time. In rete esistono infatti database ricchissimi di parole in ogni lingua registrate secondo la loro forma codificata in Md5.
Questi hash sono ad esempio quelli su cui is esercitano i 2000 giovani italiani che iscrivendosi alla Cyberchallenge del Laboratorio Nazionale di Cybersecurity vogliono diventare i cyberdefender del nostro paese. E non sono gli unici a saperli fare “collidere” come si dice in gergo.
Per questo bisogna sempre usare password robuste e complesse non di senso compiuto.
Si ammette l’accesso abusivo, ma i conti non tornano
Infine: si dice che i dati non sono riconducibili direttamente al ministero, infatti sono riferibili all’Istruzione italiana in generale. E se – come dicono al Ministero – di 6 mila account @istruzione 4,5 mila disattivati e 1,5 mila attivi, già sarebbe da preoccuparsi. Ma che dire dei restanti 20 mila?
Vero è che molte sembrano email private, probabilmente usate anche per compiti istituzionali se verrà provato che il databreach di cui si parla nel deep web (il web non indicizzato dai motori di ricerca) è avvenuto a danno dell’Ufficio Scolastico Regionale dell’Emilia Romagna e dell’Indire, ma quello che è utile dire è che molti usano le stesse password ovunque. Quindi l’invito a cambiarle da parte nostra rimane intatto.
A proposito, le password da noi visionate hanno nomi di gatti, città e di bambini: una condizione eccellente per la tempesta perfetta.