La lezione di Equifax

Genetec pubblica l'indagine sullo Stato della Sicurezza Fisica

Il problema – vox clamans in deserto, non mi stancherò mai di dirlo – è di cultura. Non solo in Italia. In quello purtroppo siamo una volta tanto in cima alla classifica, ma la cronaca ci fa intendere che in molti insidiano il nostro primato di insicurezza

Dalle nostre parti, non se ne è nemmeno parlato. Quei pochi che lo hanno fatto non hanno trovato il seguito che la notizia avrebbe meritato. Come Leonardo DiCaprio e Kate Winslet nella scena simbolo del film Titanic, chi si dovrebbe occupare di sicurezza ha continuato a godersi la navigazione, accarezzato dal vento a prua. Gli altri, con le differenti rispettive responsabilità, non hanno smesso di ballare. è la drammatica storia di Equifax, colossale agenzia statunitense di controllo dei crediti la cui privacy è affondata a seguito di un micidiale data breach. La violazione dei sistemi e la sottrazione dei dati ad altissima criticità non hanno danneggiato soltanto lo scafo dell’immaginario bastimento di Equifax, ma hanno fatto affogare la riservatezza di tutte quelle persone le cui informazioni personali erano custodite nei non blindatissimi archivi elettronici presi di mira. Poca roba. Cosa sarà mai la privacy di 143 milioni di persone che hanno saputo che i loro dati sensibili sono nella libera disponibilità di chissà quale malintenzionato? Che importanza può avere se il misfatto risale a maggio scorso, se gli addetti alla security e all’audit di Equifax se ne sono accorti solo il 29 luglio, se i poveri disgraziati – vere vittime dell’increscioso episodio – elencati nei database violati hanno avuto notizia unicamente il 7 settembre?

Leggi anche:  Threat hunting 2.0, una nuova intelligence contro le minacce

L’insensibilità a certi problemi è, quindi, distribuita capillarmente anche oltre oceano, ma una simile circostanza non può certo essere fattore di consolazione. Dovrebbe invece essere lo stimolo a riflettere su quel che è successo, sta accadendo e soprattutto potrebbe verificarsi in futuro. Immaginando una scena del crimine, e magari costruendo anche un plastico come tanto piace a Bruno Vespa e a tutti quelli che hanno nostalgia delle costruzioni con i mattoncini del Lego, possiamo prendere atto di quello che è capitato e scoprire che il disastro non è imputabile alla forza inaudita di chissà quale pirata tecnologico dalle inesauribili energie. In termini pratici, uno dei più imponenti saccheggi telematici è stato reso possibile dalla insipienza di chi avrebbe dovuto tutelare adeguatamente un patrimonio informativo così delicato. Da una parte è stato possibile appurare – per stessa ammissione di Equifax – che la falla nella robusta carena digitale non è stata dell’imponenza di un catastrofico iceberg, ma semplicemente dovuta a una banale vulnerabilità nel contesto Apache Struts. Come sempre è mancato un aggiornamento delle applicazioni, vuoi per pigrizia, vuoi per disattenzione o incompetenza, vuoi per risparmiare sugli eventuali costi di update e upgrade. D’altronde, lo si sa, gli unici a leggere i bollettini – con cui le aziende che producono software informano i clienti di possibili problemi e di corrispondenti soluzioni – sono i banditi particolarmente interessati a sapere (senza fatica) quali siano i buchi entro i quali andarsi a intrufolare.

Ricordo quando, poco più di vent’anni fa, all’Autorità per l’Informatica pianificammo una newsletter e una pagina web per allertare le Pubbliche Amministrazioni su nuovi rischi e pericoli incombenti, analogamente a quel che faceva il National Infrastructure Protection Center americano. L’esperimento fu deludente perché gli unici visitatori degli avvisi online provenivano dal sottosuolo della Rete e quindi si decise di soprassedere. Non si è preparati ad affrontare nemmeno le insidie e le minacce di più basso profilo. E proprio il caso in esame è addirittura emblematico. Una indagine forense non ufficiale avrebbe portato ad appurare una situazione che ha dell’incredibile: più di un centinaio di utenti argentini abilitati all’accesso ai sistemi informatici di Equifax avrebbe utilizzato la straordinaria e tradizionale combinazione “admin/admin” come identificativo e password. Qualcuno se la sente di aggiungere altro?