"Alterado pelo Grupo SentaPua, JamBock -- Epil58 -- KamiKaze", si leggeva nella tarda mattinata di lunedì 29 maggio sulla home page dell'Autorità per le garanzie nelle comunicazioni. La quale, nonostante l'attacco fosse stato scoperto da alcune ore, "non era ancora riuscita a riprendere il controllo del sistema informatico", secondo il Giornale radio Rai delle 13 (che citava la notizia di Punto informatico).
Vittima dell'attacco anche il Ministero delle comunicazioni,  "bucato" dagli stessi hacker, apparentemente brasiliani, che già due settimane prima si erano fatti vivi lasciando la loro firma nei web della Corte dei conti, del Ministero delle politiche agricole e in quelli dei trasporti e della sanità (vedi ancora la cronaca sempre tempestiva di Punto informatico).

In tutti e due i casi alcuni mezzi di informazione hanno dato scarso rilievo alla notizia, altri la hanno ignorata del tutto, come per un tacito accordo. Strano comportamento, visto che i misfatti - più che i fatti - dell'internet sono sempre in prima pagina, con un'evidenza spesso sproporzionata alle dimensioni reali dell'accaduto. Un caso recentissimo è quello del worm "NewLove", per il quale si è cercato di replicare il chiasso di pochi giorni prima su "I love You", anche se il nuovo attach assassino è stato neutralizzato ancor prima che si diffondesse su vasta scala.
L'accaduto suscita molti interrogativi - vedi Alcune domande che non avranno risposte - ma uno è particolarmente delicato: perché lo strano "silenzio stampa", e chi lo ha imposto o consigliato?

Con ogni probabilità non si vuole suscitare allarme nell'opinione pubblica, che incomincia a rendersi conto del fatto che i sistemi informativi pubblici esistono e contengono i dati personali di tutti i cittadini, e quindi che la loro vulnerabilità è un rischio concreto per la collettività. Si è sottolineato che non c'è stato nessun danno reale e che si è trattato solo di un "atto dimostrativo".
E' vero, più "dimostrativo" di così non si può immaginare.

I fatti sono questi: l'incursione è avvenuta semplicemente sfruttando un "buco" del Microsoft Information Server, versione 4, un programma ormai obsoleto che gira sotto Windows NT. Il difetto era noto da molto tempo e c'era anche la patch, che gli amministratori dei sistemi colpiti avevano evidentemente trascurato di installare. Particolarmente significativa è la situazione dell'Autorità per le garanzie, dove non si è chiusa la porta neanche dopo il primo attacco, esponendo incoscientemente il sistema anche al secondo (e forse al terzo o al quarto).
E' una noncuranza gravissima, perché chi entra in un sistema con la tecnica usata dai "brasiliani" può fare man bassa delle informazioni contenute nel server: copiarle, distruggerle o, peggio, alterarle. Pensiamo a che cosa potrebbe succedere se qualcuno, con questa elementare tecnica, si divertisse a cambiare qualche numero negli archivi delle retribuzioni dei dipendenti di un ente o a catturare dati sensibili in un database della sanità...

Il punto è che la maggior parte dei siti della pubblica amministrazioni sono gestiti, in varie forme di hosting o di housing, da provider privati. Nessuno controlla o pretende per contratto che siano rispettate le più elementari precauzioni per la sicurezza (non parliamo delle ridicole "misure minime" imposte per i dati personali dal DPR 318/99 - vedi Comunicare le password al soggetto preposto...).
La sicurezza dovrebbe essere ai massimi livelli possibili sui server del centro tecnico della rete unitaria, il provider "di default" per i siti della pubblica amministrazione, ormai vicino al decollo. Ma nessuno potrà obbligare le amministrazioni a servirsene, in particolare quelle degli enti locali. In questo modo, se non si trova un rimedio, prima o poi si arriverà a qualche attacco "serio", con esiti catastrofici. E' necessario definire un insieme di misure "massime" di sicurezza e trovare il modo di imporne il rispetto a tutte le amministrazioni.

Quest'ultimo aspetto potrebbe essere di competenza dei Parlamento, mentre il problema tecnico rientra tra i compiti dell'AIPA, che deve  "dettare criteri tecnici riguardanti la sicurezza dei sistemi" (articolo 7, comma 1 del DLgt 39/93). E ha incominciato a farlo, per ora solo con un fascicolo di "Linee guida per la definizione di un piano per la sicurezza" (vedi il "decalogo"), pubblicato nell'ottobre dello scorso anno e disponibile in rete.
Sarebbe interessante sapere quanti dei responsabili dei sistemi informativi delle amministrazioni - funzione istituita dall'articolo 10 dello stesso decreto 39/93 - lo hanno letto e quanti si sono posti il problema di metterlo in pratica.
Forse è il caso di pensarci in fretta, perché questa volta è andata bene e le amministrazioni hanno solo perso la faccia. Domani potrebbero perdere qualcosa di più.