Formazione
Rapetto: «Difficile recuperare i registri elettronici»
L'ex generale della Guardia di Finanza: «Questo attacco ha qualcosa di unico. In termini di capillarità, perché raggiunge milioni di alunni delle scuole, almeno il 40 per cento di tutti quelli che hanno fatto la DAD. Poi ho la sensazione che la richiesta di ricatto sia più un atto dimostrativo. Chi progetta queste cose le fa, solitamente, perché vuol fare un clamoroso atto vandalico. Vedremo. La pandemia ci ha costretto ad una accelerazione improvvisa. In questo modo abbiamo dovuto rinunciare ad un progresso graduale e costante di alfabetizzazione informatica»
Umberto Rapetto, 62 anni, ex generale della Guardia di Finanza, è stato uno dei primi investigatori italiani ad avere conoscenze del mondo informatico. Per questo è stato ribattezzato “lo sceriffo del Web”. Dopo tanti anni nella Guardia di Finanza e in Tim, scrive di sicurezza informatica per Il Fatto quotidiano e sul suo sito Infosec.news. A lui abbiamo chiesto di commentare il clamoroso episodio che ha colpito 2500 scuole italiane a cavallo delle vacanze pasquali. Un gruppo di hacker ha bloccato tutti i registri elettronici (con voti, presenze, programmi ed altro), la cui gestione è affidata alla società Axios e ora chiedono un riscatto per liberare l’accesso ai registri. Tecnicamente si chiama attacco “ransomware”. I responsabili della ditta hanno assicurato al Corriere della Sera che non c'è stata divulgazione né perdita di dati, quindi la privacy di studenti e personale è salva. In un primo momento si pensava di ripristinare i servizi dei registri elettronici oggi, ma poi è stato «deciso di rimandare a venerdì o al massimo a lunedì prossimo – ha spiegato Stefano Rocchi, amministratore unico di Axios Italia – per potenziare ulteriormente le misure di sicurezza».
Che cosa è successo?
Ransomware è un’espressione per dire che c’è un ricatto, una richiesta di soldi per liberare i dati bloccati. Il blocco avviene attraverso un processo di cifratura. I voti, le presenze, i programmi scolastici… tutto ciò che era contenuto in quei registri elettronici è stato crittografato. Per poter tornare a leggere i dati bisogna liberarli dalla cifratura e gli hacker in cambio chiedono soldi.
Ma come hanno fatto a mettere le mani sui registri, sono entrati nel sistema?
No, non necessariamente. Faccio un paragone comprensibile. Non è detto che entri in casa tua, se devo metterti una bomba. Ti posso spedire un pacco, tu lo prelevi, te lo porti in casa e a quel punto la bomba esplode. Fuor di metafora, ti vengono inoltrati dei messaggi di posta elettronica, che contengono dei file allegati. Di solito nel nome del file ci sono cose del tipo: ingiunzione di pagamento, sentenza numero, fattura, riscossione, recupero credito eccetera. Se hai fretta di guardare, apri l’allegato magari senza rifletterci troppo. Senza magari guardare bene chi è davvero il mittente, scoprire che quel mittente è un nome che a sua volta non ha niente a che fare con l’oggetto… clicchi e sei già in trappola. Non importa infatti che cosa ci sia nella desinenza del file, magari è un .pdf o un .zip, di fatto è sempre un file eseguibile automaticamente nel momento in cui lo apri. Un file eseguibile che mette in moto programmi di malware, malefici…
E lì scoppia la bomba, per rimanere in metafora.
Tutti i file che hai in quel computer vengono catturati e criptati in pochi secondi. Non solo, se hai collegato un pen drive o un altro disco, vengono raggiunte tutte le estensioni. E se sei collegato entra anche nei tuoi collegamenti in rete, cloud compresi. Una piccola Apocalisse. Ogni singolo e anche le grandi infrastrutture, pubbliche o private, possono essere oggetto di attentati di questo tipo. Ce ne sono stati in passato e ce ne saranno ancora. Personalmente combatto da 30 anni perché esistano strumenti di sicurezza per difendersi da questi attacchi hacker.
Manca anche un’educazione a prevenire questi attacchi…
Certo, questo singolo attacco poi ha qualcosa di unico. In termini di capillarità, perché raggiunge milioni di alunni delle scuole, almeno il 40 per cento di tutti quelli che hanno fatto la DAD. E poi ho la sensazione che la richiesta di ricatto sia più un atto dimostrativo. Chi progetta queste cose le fa, solitamente, perché vuol fare un clamoroso atto vandalico. Vedremo in questo caso, ma alla fine non sono convinto che gli hacker si accontentino di avere un pagamento. Purtroppo sono molto pessimista. Sarà molto difficile recuperare i dati contenuti nei registri elettronici.
I responsabili della Axios vogliono rassicurare e dicono che non c’è pericolo per questi dati…
Sono molto scettico, purtroppo. Ovviamente per le migliaia di persone coinvolte spero che abbiano ragione, ma ho dubbi molto fondati. Vedremo quanti dati recupereranno e quando.
Come ci si difende?
Ho già detto di come comportarsi, quando si ricevono delle e-mail che si capiscono poco. Tanto più è clamoroso il messaggio in positivo (hai vinto un premio) o in negativo (atto giudiziario, multa, riscossione tasse eccetera), tanto più va controllato bene il nome del mittente. Non abbiate fretta di aprire l’allegato. Le aziende e le grandi organizzazioni, anche pubbliche, possono usare la tecnologia della cosiddetta “sand box”, la cassetta di sabbia, per far decantare gli allegati dei messaggi di posta elettronica. È un procedimento simile al controllo di sicurezza fisico dei pacchi, che si fa con i raggi x. Seconda considerazione, rivolta soprattutto ai singoli: attenzione ai siti in cui si naviga. Classico è cercare di scaricare un film e ci si porta a casa una serie della spazzatura informatica, che a volte può nascondere il virus malefico.
Capita a tutti “infettarsi” il Pc in questo modo…
Infatti se si vuole prevenire davvero, la cosa migliore è fare una copia di tutto ciò che abbiamo nel computer. Anche due copie, di back up. I back up non vanno tenuti in linea, o almeno non solo, perché, come abbiamo detto, nel peggiore dei casi l’intrusione degli hacker arriva anche sulla rete. Chi maneggia questi strumenti, e questa sarebbe la vera prevenzione, deve essere più educato e informato su che cosa fare e soprattutto non fare. Nel vagliare i messaggi di posta elettronica che ci arrivano, dovremmo recuperare uno “slow work”, non farci prendere dall’ansia o dalla fretta.
La DAD nelle scuole è stata organizzata precipitosamente…
Ma certo! E faccio i complimenti a tutti coloro, fra docenti e studenti, che hanno sopportato questo sforzo. La verità è che la pandemia ci ha costretto ad una accelerazione improvvisa. In questo modo abbiamo dovuto rinunciare ad un progresso graduale e costante di alfabetizzazione informatica. E sulla protezione dei dati, sulla sicurezza paghiamo la stessa brusca accelerazione. Mi occupo di queste cose dagli anni Ottanta e so quanto è difficile spiegare i meccanismi che minacciano la nostra privacy, la nostra vita, e la necessità della sicurezza quotidiana.
Quest'articolo è stato pubblicato da www.10alle5quotidiano.info
Nessuno ti regala niente, noi sì
Hai letto questo articolo liberamente, senza essere bloccato dopo le prime righe. Ti è piaciuto? L’hai trovato interessante e utile? Gli articoli online di VITA sono in larga parte accessibili gratuitamente. Ci teniamo sia così per sempre, perché l’informazione è un diritto di tutti. E possiamo farlo grazie al supporto di chi si abbona.