2017/01/11

“Cyberspionaggio” contro Renzi, Monti, Draghi e “20.000 vittime”: calma un attimo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/11 22:20.

I media italiani si sono forse lasciati un po’ prendere la mano sulla notizia dell’arresto di due persone, Giulio Occhionero e Francesca Maria Occhionero, con l’accusa di spiare “politici e istituzioni, anche Renzi, Draghi e Monti” (RaiNews). Sarebbero “circa 20mila le vittime accertate sinora” dalla Polizia postale (RaiNews; Askanews/Cyber Affairs). Secondo AGI, il malware usato dagli accusati “controllava migliaia di politici italiani”.

RaiNews dice che fra gli “account ‘hackerati’... figurano anche quelli di Matteo Renzi, di Mario Monti, dell'ex governatore della Banca d'Italia Fabrizio Saccomanni; di Piero Fassino, Ignazio La Russa Mario Canzio e dell'ex comandante della Guardia di Finanza Saverio Capolupo. Spiati anche Vincenzo Scotti, Walter Ferrara, Alfonso Papa, Paolo Bonaiuti, l'ex ministro Maria Vittoria Brambilla, Luca Sbardella, Fabrizio Cicchitto, Daniele Capezzone, Vincenzo Fortunato, il ministro Paolo Poletti. L'ex presidente della Regione Campania Stefano Caldoro e il senatore Domenico Gramazio.”


Ho letto le 46 pagine dell’ordinanza di custodia cautelare pubblicata da AGI (con un lodevole atto di trasparenza e buon giornalismo digitale) per andare il più possibile alla fonte diretta e diradare la cortina fumogena del passaparola giornalistico. Dalla versione pubblicata manca, stando alla numerazione, la pagina 14 [2017/01/11 18:15: ho verificato che la pagina manca effettivamente e non si tratta di un errore di numerazione].

La pagina mancante (o altri atti che al momento non ho potuto esaminare) potrebbe cambiare molto le mie considerazioni, ma sulla base di quello che è stato pubblicato fin qui segnalo alcuni punti significativi e una correzione a una notizia errata pubblicata dall’Huffington Post.


20.000 vittime? Dipende cosa si intende per “vittime”. L’ordinanza, a pagina 12, parla di “un elenco di 18327 username univoche” di cui però solo 1793 sono “corredate da password”, e parla di “tentativi di infezione, più o meno riusciti”. Sottolineo il “tentativi”. Mi viene il dubbio che alcuni giornalisti abbiano considerato come vittime anche gli account che hanno soltanto subìto un tentativo di intrusione. Se uno username viene citato in questo elenco senza la rispettiva password, è probabile che l’intrusione in quell’account non sia riuscita. Conteggiare anche i tentativi falliti sarebbe ingannevole: con questo criterio, io dovrei considerarmi “vittima” e “hackerato” ogni volta che ricevo una mail con un malware allegato.

Fra l’altro, anche la conoscenza della password non sarebbe garanzia di intrusione riuscita. Se una vittima ha attivato l’autenticazione a due fattori (2FA o “verifica in due passaggi”), la sua password può essere trafugata ma non sarà utilizzabile da un aggressore (con la 2FA possono accedere all’account solo i dispositivi autorizzati dall’utente; gli altri, tipo quelli usati dall’aggressore, vengono bloccati e l’utente viene allertato). Spero e prego che i vari politici citati nelle notizie si siano dotati di 2FA sugli account. Lo so, sono un inguaribile ottimista.

Per contro, la tecnica d’intrusione descritta nell’ordinanza (invio di mail con un allegato contenente  un malware già conosciuto, denominato Eyepyramid, nulla di particolarmente sofisticato ma un semplice strumento di amministrazione remota o RAT) permetterebbe di monitorare da remoto il computer della vittima, se la vittima esegue il malware senza protezioni, e quindi di leggere o esportare la mail anche senza conoscerne la password.


Renzi, Draghi, Monti sono stati violati o no? L’ordinanza è ambigua al riguardo: non dice chiaramente che gli account di questi tre esponenti delle istituzioni sono stati violati come sostengono le fonti giornalistiche. Indica soltanto le date dei tentativi di violazione di questi account, mentre per altri, legati a domini sensibili delle istituzioni come Interno.it, Camera.it, Senato.it, Esteri.it e Giustizia.it “o riconducibili ad importanti esponenti politici” precisa che sono “comprensivi di password”. Manca però la pagina 14, che potrebbe forse fare chiarezza [2017/01/11 18:15 Ho visionato la pagina mancante e, come confermato da AGI, non contiene alcuna indicazione che gli account di Renzi, Draghi o Monti siano stati violati e anzi sembra escluderlo. Attaccati? Sì. Violati? No. Scrive AGI: “la pagina 14 rivela che quell’elenco era sì di persone inserite nel database, ma senza che gli hacker fossero riusciti a violarne gli account”].

Non ho trovato nessuna dichiarazione diretta della Polizia Postale che dica che gli account di Renzi, Monti e Draghi sono stati effettivamente violati, ma solo affermazioni giornalistiche in questo senso: se avete dichiarazioni dirette degli inquirenti che mi sono sfuggite e confermano la violazione specifica, segnalatemele.

L’ordinanza, per contro, specifica chiaramente (a pagina 2) che alcuni dei tentativi di intrusione sono andati a segno e hanno permesso di acquisire “notizie che, nell’interesse politico interno o della sicurezza pubblica devono rimanere riservate”. Vengono citati, a pagina 13, “674 account, 29 dei quali corredati dalla relativa password”, riferibili a politici o imprenditori. Ventinove, non ventimila. Non voglio insomma sminuire la gravità dei reati commessi, ma precisarne l’effettiva entità e portata.


No, l’ENAV non è stata violata. Huffington Post scrive che gli Occhionero “hanno penetrato il 28 aprile 2016, ma già sotto controllo dall’inizio di gennaio - attraverso i computer dell’avvocato Francesco Di Maio, responsabile della sicurezza dell’Enav - l’intero sistema informatico dell’aviazione civile italiana, comprese tutte le comunicazioni relative”. Questa affermazione è stata smentita seccamente da Giovanni Mellini, che lavora nella sicurezza informatica dell’ENAV, in una mail che mi ha inviato e che cito testalmente con il suo permesso: “ENAV ed il suo SOC hanno segnalato al CNAIPIC in maniera responsabile e con evidenze uno 0day assimilabile ad un APT per le azioni istituzionali del caso e non c'è stata alcuna compromissione della nostra rete e nello specifico dell'account di Francesco Di Maio, il mio responsabile.”

Questo corrisponde a quanto dichiarato nell’ordinanza (pagine 1, 2 e 4): gli Occhionero sono indagati specificamente per aver tentato un’intrusione nei sistemi informatici di Francesco Di Maio (responsabile della sicurezza di ENAV) mandandogli il 26 gennaio 2016 “un messaggio di posta elettronica contenente un allegato malevolo (virus informatico EyePyramid), che una volta auto-installato nel sistema informatici [sic] dell’ENAV S.p.A., avrebbe permesso di accedere abusivamente al relativo sistema informatico”. Notate il condizionale “avrebbe”, che indica che l’auto-installazione non è avvenuta. Infatti l’ordinanza chiarisce poi che Di Maio “anziché visualizzarla e scaricarne l’allegato, provvedeva opportunamente ad inviarlo per l’analisi tecnica” a una società di sicurezza informatica.

La questione ENAV è particolarmente importante perché stando alle dichiarazioni del direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami [2017/01/11 10:55: ora rimosso dall’incarico], e riportate da Askanews/Cyber Affairs, è stata proprio la segnalazione del tentativo di intrusione ai danni dell’ENAV che ha portato alla scoperta delle attività degli Occhionero.

C’è ancora sicuramente molto da scoprire su questa vicenda, visto che i dati rubati erano custoditi negli Stati Uniti e quindi è coinvolta anche l’FBI. Staremo a vedere: nel frattempo, questa vicenda è di certo un monito per chiunque ricopra una carica importante a ricordare che la sicurezza informatica è una cosa seria e che pensare “ma chi vuoi che se la prenda con me” è un errore sul quale i criminali informatici contano quotidianamente.

[2017/01/11 22:20. Questo argomento prosegue in questo articolo]


Fonti aggiuntive: Corriere del Ticino, AGI, Formiche.net, Rainews, Sole 24 Ore, AGI, Il Fatto Quotidiano, Federico Maggi, The  Guardian.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili