Home / Approfondimenti / A proposito di Inter Nos – By Anonymous Italia

 

Anche se con un po’ di ritardo, vorrei fare un’analisi sulla presunta e millantata attività di Hacking che il collettivo italiano di Anonymous avrebbe compiuto violando addirittura i server del Ministero dell’Interno. La cosa mi fa molto ridere, perchè anche un non addetto ai lavori si accorgerebbe che non c’è stata nessun tipo di violazione, nessun server bucato, nessuna rete di nessun ministero hackerata. Lo si comprende facilmente dai dati, dai “leaks”, pubblicati dai sedicenti hacker come trofeo dell’avvenuta operazione di “target bucato”, come si dice in gergo. Mi permetto di fare questa analisi, perchè una volta, e i fatti ahimè sono noti, queste cose le facevo anche io (che poi lo facessi per conto della Polizia Postale è altro discorso, o che ancora esista chi ci creda o meno). Posso dire insomma di sapere abbondantemente di cosa parlo e di come si fanno certe cose. In questo caso, nell’operazione “intern nos”, le cose saranno andate grosso modo come espongo di seguito. Innanzaitutto, nessun server, come dicevo è stato violato. I contenuti dei dati pubblicati lasciano intendere chiaramente che ad essere stata bucata è stata la casella di posta elettronica di un povero poliziotto, di cui potrei fare anche il nome poichè già noto, ma che per rispetto e delicatezza non riporto. Dai files trafugati si nota con palese evidenza che si tratta di allegati ricevuti e inviati sempre attraverso l’indirizzo di posta elettronica in questione. E’ ovvio che un poliziotto qualche file pdf riservato nella propria casella di posta elettronica ce l’avrà, no? E’ ovvio che tra le sue mail qualche nome di qualche collega ci sarà, insieme magari a qualche foglio di servizio o a qualche documento contenente ordini di servizio, frequenze radio e quant’altro, no? Tutto qui, si è trattato solo di questo, si è trattato di un poliziotto che avrà avuto come password della sua casella di posta elettronica magari la propria data di nascita o qualcosa di simile, e l’accesso alla sua casella di posta elettronica sarà stato un gioco da ragazzi.  A mero titolo di esempio, ricordo che un po’ di ann fa, il sito Doppia Vela, la rivista della polizia di stato, aveva delle falle pesantissime dalle quali era possibile accedere, attraverso una semplice SQL INJECTION, agli utenti della rivista on line. Ovviamente gli utenti erano poliziotti. E una volta dentro al database si potevano vedere in chiaro le password con le quali i poliziotti accedevano alla rivista Doppia Vela. E sapete quale fu la prima prova che gli hacker fecero? Fu quella di provare ognuna di quelle password per cercare di accedere alla posta elettronica istituzionale dei poliziotti iscritti a doppia vela. Il metodo era semplice: mome.cognome@poliziadistato.it come username, e come passowrd quella usata per l’accesso a Doppia Vela. Il risultato fu assurdo e disarmante: il 90% dei poliziotti utilizzava la stessa password per accedere sia a Doppia Vela che alla propria casella di posta elettronica istituzionale. Errore gravissimo, del quale ovviamente, facendo fede al mio incarico, avvisai immediatamente i dirigenti della Polizia Postale miei referenti superiori, che cercarono di porre rimedio alla cosa. Ma se ancora oggi si riesce facilemnte ad accedere alla casella di posta elettronica di un poliziotto, vuol dire che ancora qualcosa non va. E mi permetto quindi di dare qualche suggerimento al nostro caro Ministro dell’Interno e al responsabile IT della Polizia di Stato. Provate a utilizzare password random generate dal sistema, cotenenti caratteri minuscoli, maisucoli, simboli e caratteri speciali (mi sembra di stare alla scuola materna), e magari di non lasciare proprio accessibile a tutti il front end di accesso alla web mail, ma di renderlo accessibile solo da una intranet, o da indirizi ip autorizzati, o da client appositamente scritti da programmatori interni alla polizia con codice proprietario non con applicazioni commerciali. E forse eventi incresciosi come la “buffa e grottesca” operazione “intern nos”, che di hacheraggio ha davvero ben poco, non si verificherebbero, con beneficio per l’istituzione e soprattuto col risultato che dati certamente riservati non se ne andrebbero in giro per la rete a disposizione di chicchessia.

 

Autore: Gianluca Preite

 

 

Ultimi articoli in Approfondimenti