L'«auto-hackeraggio» dell'Inps
(iStock)
Cyber Security

L'«auto-hackeraggio» dell'Inps

La Rubrica Cybersecurity Week

Giornate intense per chi si occupa di protezione dei dati e cyber security. La vicenda INPS si presenta come un caso di "auto - hackeraggio" per cui il sistema ha risposto in modo anomalo di fronte ad una situazione imprevista. Sistemi di quelle dimensioni si avvalgono di tecnologie per il cosiddetto bilanciamento di carico, cioè soluzioni tecniche che distribuiscono le connessioni tra diversi server per evitare che si verifichino sovraccarichi. Spesso questi apparati funzionano anche come acceleratori, quindi tengono in memoria delle pagine web o immagini che non dovrebbero cambiare (il logo INPS per esempio). Tuttavia se configuro il sistema per conservare in memoria tutto il contenuto della pagina, ecco che potrebbe diventare disponibile a chiunque successivamente tenti di accedere a quella stessa pagina.

Più interessante è invece il caso che avrebbe coinvolto l'Ospedale Spallanzani, una delle punte di diamante italiane nella ricerca sul Coronavirus. Si tratta di un tema critico perché le informazioni cliniche e quelle relative a eventuali terapie valgono molto più oro di quanto pesano, e allora diventano immediatamente un obiettivo per criminali che operano in proprio o "state sponsored". Così la nostra istituzione, immaginiamo casualmente, ha incassato prima i complimenti della delegazione della Croce Rossa cinese e una settimana dopo un tentativo di hacking. Nelle prossime settimane sarebbe opportuno che il livello di attenzione sui sistemi dei nostri centri di ricerca in materia fosse portato a livelli molto alti perché sono questi i nuovi obiettivi privilegiati degli attacchi più pericolosi, ovvero quelli che non fanno rumore.

Se il pasticcio del sito INPS rappresenta una grattacapo per il l'Autorità Garante per la protezione dei dati, un vero mal di testa sembra essere quello della didattica on line a cui l'intero sistema scolastico sta facendo ricorso per sopperire alla chiusura delle scuole. Una delle applicazioni di maggiore successo si è rivelata Zoom che per sua "sfortuna" è inciampata in diversi problemi. Prima si è scoperto che condivideva i dati con Facebook (disastro in termini di protezione dei dati considerando che è frequentata ormai quotidianamente da qualche milione di minorenni italiani), poi sono arrivati problemi di sicurezza con immagine oscene pubblicate durante una chat tra alunni e professore (difficile dire se il misfatto è stato compiuto da un intruso oppure da uno studente burlone). Sul tema, oltre al nostro Garante che ha emesso un apposito provvedimento in materia di didattica on line, anche la statunitense FBI è intervenuta dopo la denuncia di una scuola del Massachusetts, fornendo indicazioni su come utilizzare proprio Zoom. Purtroppo la vicenda è soltanto all'inizio, e nelle prossime settimane possiamo aspettarci altri exploit sia di "infiltrati" sia degli alunni. Una situazione che, ci auguriamo, almeno riaccenda l'attenzione istituzionale sull'importanza di un utilizzo consapevole da parte di insegnanti e studenti delle tecnologie dell'informazione.

Nel frattempo ci sono anche criminali informatici che continuano le loro attività abituali. A tal proposito, la catena alberghiera Marriott ha rilevato di essere stata vittima di un nuovo data breach. Questa volta, stando al comunicato dell'operatore, sarebbero stati coinvolti i dati di 5,2 milioni di ospiti delle sue strutture e aderenti al programma di fidelizzazione. Secondo le prima indagini, l'intrusione sarebbe iniziata a metà del mese di gennaio.

Chiudo con un breve commento a quanto dichiarato da Roberto Burioni. Il virologo, rispondendo al rapper Frankie Hi-Nrg che manifestava perplessità sull'utilizzo delle app di contact tracing, ha affermato: «Si tratta di scegliere il male minore. Io, tra il virus e la perdita parziale della privacy, scelgo la seconda, ma è un'opinione personale. PS: esperti mi dicono che si può costruire un sistema efficace e sicuro sotto tutti i punti di vista". Non discuto certo la sua opinione, anzi potrei dire di condividerla, ma sarei curioso di sapere quali sono gli esperti che pensano sia possibile "costruire un sistema efficace e sicuro sotto tutti i punti di vista» perché avrebbero trovato il modo di realizzare l'utopia di una soluzione tecnologia funzionante e allo stesso tempo inviolabile.

I più letti

avatar-icon

Alessandro Curioni