Attacco hacker alle università, l’esperto: “Ecco come difendersi”
Intervista di Raffaele Lupoli per Universita.it
11 luglio 2011
“L’idea che mi sono fatto è che l’allarme sulle presunte incursioni nei database è stato eccessivo, ma il problema della sicurezza informatica degli atenei esiste eccome”. Abbiamo chiesto ad Arturo Di Corinto, direttore di Logos, il Laboratorio Open Source della Sapienza presso il Cattid, psicologo cognitivo e giornalista esperto di internet governance e diritti digitali, di analizzare per Universita.it l’episodio di assalto ai siti web di 18 atenei italiani che la scorsa settimana ha messo in subbuglio il mondo accademico. Di Corinto, che è tra l’altro autore, con Alessandro Gilioli, del volume “I nemici della rete” (Bur, 2010), parla di “presunte incursioni” perché, spiega, “non abbiamo certezza che i dati sensibili di studenti e personale diffusi da Lulzstorm siano stati effettivamente ottenuti a seguito di una violazione di database riservati, perché gli amministratori degli atenei non ce lo diranno mai. Ma in alcuni casi potrebbe effettivamente essere successo”
Che cosa potrebbe essere accaduto allora?
Per quello che si legge nei file, la gran parte delle informazioni raccolte nelle cartelle pubblicate su canali Torrent si potrebbe ricavare anche partendo da elenchi pubblici presenti on line. Esistono potenti software in grado di generare password casuali di sistemi protetti e, una volta individuate, farvi accedere terze parti. A quanto pare parte delle informazioni contenute in quelle liste è “vera” ma già pubblica, un’altra parte è invece composta da indirizzi sbagliati. Non possiamo sapere, quindi, se si tratta della manipolazione messa in atto da giocherelloni o se invece sia accaduto qualcosa di più grave.
Si può dire che quest’episodio mette in luce comunque delle falle nel sistema di gestione e conservazione dei dati sensibili dei nostri atenei?
Il problema c’è ma va ben al di là delle università. La nostra legislazione in materia di gestione di dati sensibili è molto severa, ma la sua applicazione effettiva lascia ancora molto a desiderare. Non escluso che questo attacco possa essere opera di un gruppo di “hacker”, esperti informatici che realizzano questo tipo di “blitz” proprio per destare l’attenzione sul problema della sicurezza informatica e “costringere” le istituzioni deputate a intervenire. Arturo Di Corinto
Quindi è possibile che l’obiettivo dell’azione fosse quello di denunciare la vulnerabilità dei siti universitari?
Le modalità dell’azione e la sua rivendicazione mi portano a non escluderlo. Potrebbe trattarsi di una critica al livello di aggiornamento dei tecnici che si occupano di questi aspetti all’interno degli atenei, una sorta di polemica a distanza per denunciare la scarsa preparazione di questi soggetti e la scarsa sicurezza dei software. Di certo è meno probabile che si tratti di “cracker”, che invece agiscono per trarre guadagno dalle loro incursioni. Ciò non toglie che in questo ambito agiscano interessi economici molto forti e che potrebbero giovarsi di un allarme sulla sicurezza informatica: software house, produttori di antivirus…
A proposito di software, perché li ritiene poco sicuri?
Quelli che gestiscono e proteggono dati sensibili sono sempre gli stessi. In questo campo, invece, servirebbe decisamente una maggiore “biodiversità informatica”. Differenziare i software vuol dire metterli in concorrenza e dare meno possibilità a chi volesse violarli di approfondirne le caratteristiche. A questo si deve però aggiungere un elevato livello di formazione e di aggiornamento degli operatori che poi li utilizzano nel concreto, nel caso specifico all’interno degli atenei.
Dopo l’attacco di Lulzstorm gli studenti hanno subito cambiato le loro password di accesso. Basta questo accorgimento o ci può dare altri consigli?
Gli utilizzatori dei sistemi informatici pensano sempre che debbano essere altri a occuparsi della sicurezza. Quest’atteggiamento è sbagliato, bisogna che ciascuno per il suo ruolo lavori per prevenire i rischi. Quindi va bene cambiare frequentemente le password, ma bisogna anche fare in modo che siano lunghe e “forti”, con cifre e lettere scelte a caso. Inoltre bisogna cominciare a utilizzare la crittografia, che consente di contrastare l’invasività di quei software che spiano le comunicazioni tra utenti del web per carpire informazioni da utilizzare a scopi commerciali o criminali.