Ci sono volute meno di 72 ore per mostrare la vulnerabilità dei siti delle istituzioni italiane. Nella serata del 18 novembre un archivio di 45 mila account è finito nelle mani dell’hacker Kapustkiy, che ha aperto una breccia in mobilita.gov.it. E il 21 è crollato il portale di Equitalia. Un attacco, quest'ultimo, che in gergo si chiama Ddos (Distributed denial of service) e ha reso il sito non raggiungibile per circa sei ore, sovraccaricandolo di richieste di accesso.

Da qualche tempo l’hacker Kapustkiy, che si definisce il «Bruce Lee di Internet», gira i siti istituzionali di mezzo mondo in cerca di falle. Dalle ambasciate ai ministeri. Poi segnala agli stessi quello che trova e il baco che ha aperto la breccia. Insomma, niente sabotaggi né profitti. Cadere sotto i colpi dell’attacco lanciato a mobilita.gov.it, un Sql Injection, è «come dire di morire di raffreddore, sicuramente possibile, ma presuppone che il sistema sia gravemente compromesso», spiega con una metafora Pierluigi Paganini su Tech Economy.

L’AVVERTIMENTO INASCOLTATO. Il sistema è evidentemente compromesso sia a livello di sicurezza informatica, sia a livello di sensibilità di coloro che nelle istituzioni lavorano. Kapustkiy, che nel frattempo in questi giorni su Twitter svela i retroscena delle sue sortite, fa sapere che si è preso la briga di scrivere agli indirizzi mail istituzionali per segnalare la carenza di sicurezza del sito. Risposte ricevute: zero.

Nessuno ha dato ascolto all’hacker e ai suoi avvisi. Così Kapustkiy si è divertito a rilasciare online una prima lista di 9 mila indirizzi mail e password, sui 45 mila recuperati. All’interno del database si trova un po’ di tutto: funzionari comunali di Nord, Sud e Isole, account dell’ordine degli avvocati, responsabili del personale di Regioni e Province, quadri della Croce Rossa e via dicendo. Accanto alle mail nel database si vede un codice alfanumerico, risultato della risposta dell’algoritmo di sicurezza.

L'algoritmo utilizzato, Md5, è oggi il più facile da decifrare

«Il fatto», spiegano a Lettera43.it gli esperti del settore, «è che quell’algoritmo (Md5, ndr) è oggi il più facile da decifrare. Da anni chi si occupa di sicurezza ad alti livelli lo ha abbandonato». Per decrittare tutte le 9 mila password potrebbero volerci poco meno di 48 ore. Un grosso guaio, perché entrando in quegli account si avrebbe accesso a una montagna di dati, concorsi, gare d’appalto e comunicazioni riservate.

TROPPA LEGGEREZZA NELLE ISTITUZIONI. «D’altronde, quando alla preparazione di chi fa cyber security si preferisce privilegiare l’amicizia, cose come questa sono all’ordine del giorno», spiega una fonte che vuole restare anonima ma che ha svolto consulenze per i ministeri, dicendosi «sconsolato per la leggerezza con cui vengono trattati questi aspetti». Mentre scriviamo mobilita.gov.it risulta in manutenzione. Lo è dalla notte tra il 18 e il 19 novembre.

EQUITALIA DOWN. Nessun furto di dati, ma un blocco durato sei ore è invece toccato al portale di Equitalia. All’ente stanno aspettando la relazione dei tecnici che hanno individuato l’attacco come proveniente da oltre confine. Attacco che non ha compromesso la sicurezza e l’area riservata, da cui i contribuenti da qualche tempo possono verificare la propria situazione e addirittura pagare i debiti. Sulla vicenda ha aperto un’indagine la polizia postale per riuscire a risalire all’identità degli hacker che hanno intasato il sito rendendolo non più raggiungibile.