Password in chiaro per 1581 siti comunali del Sud
Hacker’s Dictionary. Anonymous rivendica online l’ennesimo attacco agli Enti locali per denunciare la devastazione ambientale in Campania e, allo stesso tempo, l’impreparazione di chi si occupa di digitalizzare il paese
di ARTURO DI CORINTO per Il Manifesto del 12 Marzo 2020
Non ci vuole molto a capire che più gente ricorre a Internet per giocare, lavorare e informarsi, più aumenteranno gli attacchi informatici. L’urgenza, la paura, la novità, sono da sempre alleati degli hacker criminali per farci cliccare su un link sbagliato e portare a termine una truffa che comincia dal telefono e arriva al conto online.
Perciò questo è anche il momento di prestare più attenzione alla gestione in sicurezza dei nostri dispositivi informatici, come pure di tutta la catena del valore che sta dietro ai servizi online.
La Regione Campania non l’ha fatto, Asmez non l’ha fatto, ma neanche i servizi meteo e le strutture ospedaliere private consorziate in Aiop che sono state attaccate dai soliti web-gerriglieri di Anonymous nell’ambito dell’Operazione Campania, un attacco per attirare l’attenzione sulla disastrata situazione della Terra dei fuochi, l’inquinamento del fiume Sarno e le morti di tumore della zona.
Ad Asmenet non sono stati attenti e perciò sono stati bucati. E fa impressione vedere la lettera con cui il povero responsabile del Centro dati di Asmenet Calabria è stato costretto a scusarsi per il fatto che «siti istituzionali, albi pretori e trasparenza non sono più raggiungibili» e che «i servizi saranno riattivati non appena sarà garantito nuovamente il livello di sicurezza adeguato».
Non è la prima volta che succede. Però se l’anno scorso gli Anonymous di Ctrl_plus erano riusciti a bucare la Siae sfruttando un errore di configurazione del Cms del loro sito pubblico, e se l’utilizzo di cross site script aveva aperto le porte di associazioni di poliziotti e militari in pensione, e i 26.000 indirizzi del Miur erano stati violati a causa di codici di protezione datati, nel caso dei 1581 domini comunali di Campania, Calabria e Basilicata gestiti da Asmenet e hackerati nell’operazione #GreenRights la colpa è di una password ridicola: «cambiami». I siti adesso sono offline. La stessa Asmenet è offline e non risponde a email e telefono. Ma il nome dei database, delle tabelle, nome, cognome, ID degli operatori dei siti che gestiva se ne vanno a spasso nel web. E sapete che password portano? Il cognome degli utenti autorizzati. In chiaro, senza nessuna protezione.
Mai come oggi al tempo del Coronavirus l’ignoranza non è più una virtù. Seguire le regole elementari di educazione cibernetica deve diventare un obbligo, come quello che dice #iorestoacasa.
Imparare ad usare password autogenerate, l’autenticazione a due fattori, adottare il buon senso di fronte ai tentativi di phishing, cambiare la password di default degli strumenti di videoconferenza e di lavoro collaborativo oggi sono un obbligo per tutti, non una fissazione da nerd.
E proprio di questo parla diffusamente un libro curato da Nicola Sotira per i tipi di FrancoAngeli che si intitola Il Fattore umano nella cyber security. Realizzato dal Global Cyber Security Center, fondazione di Poste Italiane, si tratta di un libro collettivo, ripetitivo a tratti, con un linguaggio forse troppo aziendale, ma col merito di rappresentare un punto di vista esperto sull’esigenza di aumentare l’awareness, la consapevolezza, dell’importanza della sicurezza informatica per avviare campagne di informazione a tutto campo. Per i manager, certo, ma anche verso i giovani che con troppa facilità cedono i loro dati ai servizi gratuiti di BigTech. E con un merito aggiuntivo: è stato scritto dalle donne del Computer emergency response team di Poste Italiane, un fatto che per una volta ribalta la vulgata corrente di un mondo, quello della cybersecurity, dominato da maschi.