Politica | IT

"Un hacker? Non scherziamo"

Moar smonta la tesi del Garante sulla violazione dei cinque fascicoli sanitari (fra cui quello di Kompatscher). "Falla nota dal 2007, sarebbe entrato anche un ragazzino".
christoph moar
Foto: Manuela Tessaro

Quella dei tecnici del settore IT è una sorta di “bubble”, una community in cui, attraverso canali ben definiti, se “succede qualcosa” nel giro di poche ore tutti lo vengono a sapere. Più che altro, se capita di assistere ad una conversazione fra “smanettoni” si potrà avere la sensazione che vivano in un mondo parallelo e comunichino con un linguaggio fatto di codici e acronimi, cosa che assegna loro un’aura quasi mistica, da “iniziati” capaci di andare in profondità o  "oltre" in quegli stessi luoghi virtuali che frequentiamo tutti.

“Qualcosa” è successo quandosu SALTO è uscito l’articolo sulle multe date dal Garante per la privacy per la violazione di alcuni fascicoli sanitari. Nel giro di qualche ora sono arrivati in redazione messaggi e commenti preoccupati per le sorti dell’ “hacker” che nel gennaio 2021 trovò la falla nel sistema creato dalla società Dedalus, su incarico di SIAG (Informatica Alto Adige). La “vulnerabilità” era stata risolta la sera stessa dopo che l’”attaccante” si era di fatto autodenunciato.  Come mai quindi, l’8 aprile 2021 il direttore generale di Informatica Alto Adige Spa aveva presentato comunque denuncia presso la Polizia Postale di Bolzano?

Le bocche sono cucitissime, ma dopo aver ottenuto una serie di riscontri, la vicenda può essere riassunta all’incirca così. A gennaio 2021 un giovane nota la falla nel sistema. Invece che segnalarla subito e provare ad entrare in documenti di persone a lui vicine che potessero dargli il consenso, l'informatico penetra nei fascicoli di 5 persone piuttosto note, di cui riesce a trovare (o ricavare facilmente) i codici fiscali in rete. Una di queste persone è, per dire, il presidente della Provincia, Arno Kompatscher. Il tecnico si rende conto di aver fatto qualcosa di penalmente perseguibile, sa di avere lasciato delle tracce, e non sa bene cosa fare. Ad aprile decide di autodenunciarsi, ma quando Siag realizza che la violazione risale a qualche mese prima e coinvolge persone non vicine al ragazzo, è praticamente costretta a denunciarlo. Il giovane non ha infatti seguito le regole deontologiche non scritte della “bubble”. Dopo aver ricostruito la vicenda, abbiamo cercato di capire meglio con un informatico come funzionano queste dinamiche “per pochi”.

SALTO: Dopo che è uscito l’articolo sulle multe che cosa ha fatto saltare sulla sedia il mondo degli informatici?

Christoph Moar: “A un certo punto nel documento il Garante dice che la falla sul fascicolo sanitario era fruibile solo a chi possiede approfondite conoscenze tecniche e non è un’azione che rientra nelle possibilità di utenti con conoscenze informatiche di base. Questo non è assolutamente vero. Chiunque, anche un ragazzo delle medie, poteva penetrare in quel sistema, tanto che la falla è stata inserita, già nel 2007, nella lista di riferimento per la sicurezza informatica: la "owasp top10”, e quindi ogni programmatore, oramai, dovrebbe conoscerla ed evitarla.

Esiste una top 10 delle falle?

Sì certo, e chiunque sviluppa o gestisce software la conosce. Ma comunque gli errori succedono, io non critico questo, ma il fatto che in questo caso si parli di hacker con conoscenze tecniche avanzate. Un altro aspetto è che esiste una prassi, diffusa tra aziende e tenici, denominata “Responsible Disclosure”, che definisce la metodologia da seguire quando si scopre una falla di sicurezza in un software, e leggendo che la persona che ha scoperto la falla è stata denunciata direi che probabilmente la prassi non è stata seguita.

Chi di solito denuncia queste falle viene ringraziato, o addirittura ricompensato dalle aziende.

Prima di vedere questo aspetto, se è così semplice, ci spiega, se possibile, come è avvenuta l’intrusione?

Siamo di fronte a una falla denominata “IDOR”: Insecure Direct Object Reference, un semplice bug che quando viene sfruttato, può fornire agli aggressori l'accesso a dati o password sensibili o dare loro la possibilità di modificare le informazioni. Su HackerOne, ogni mese vengono trovati e segnalati in modo sicuro ai clienti oltre 200 bug. In questo caso è sufficiente una manomissione di un URL, cioè quegli indirizzi che normalmente leggiamo nella finestra del browser. Una volta dentro un fascicolo sanitario l’informatico ha notato che in un URL chiamata dalla pagina si poteva leggere un codice fiscale. A quel punto ha fatto un copia e incolla con un altro codice fiscale ed ha tranquillamente scaricato dati di un altro fascicolo sanitario. Questo è spiegato dal Garante. Ma questo, ribadisco, lo può fare chiunque sappia usare un browser. Per correggere questo tipo di bug è necessario richiedere, oltre al codice fiscale, un ulteriore elemento che identifichi la persona. E così è stato poi fatto. Chi di solito denuncia queste falle viene ringraziato, o addirittura ricompensato dalle aziende.

Ricompense di che tipo? E cosa è successo in questo caso?

Si chiamano bug bounty programs e sono quelle iniziative portate avanti da enti e aziende di tutto il mondo che prevedono una ricompensa per la segnalazione di eventuali vulnerabilità nei software e nei sistemi informatici. Google e Microsoft, per fare solo i due nomi più importanti, mettono in palio premi anche di importo molto significativo. Google dà proprio ricompense in denaro e gli appassionati si prodigano per cercare i bug. Da 15 o vent’anni è diventato quasi una specie di sport.  Nel caso specifico non ho nessun elemento preciso se non quello che scrive il Garante: credo comunque che si sia arrivati alla denuncia perché la persona in questione è entrata nel fascicolo di persone a lei sconosciute.

Ma violare un sistema è comunque un reato, no?

Sì, ma esistono modi “giusti” di farlo. Per esempio, se la persona che ha violato il sistema avesse chiesto a sua moglie di entrare nel suo fascicolo sanitario, e poi usando lo stesso browser avesse inserito il proprio codice fiscale nella url, avrebbe dimostrato perfettamente l’esistenza della falla, ma senza vedere alcun dato sensibile di persone esterne. Se invece faccio lo stesso test entrando in fascicoli sanitari di persone che non conosco, la faccenda cambia di molto. In questo caso, come minimo, “l’attaccante” dovrebbe comunicare la falla e autodenunciarsi subito, ed anche questo elemento nel caso in questione non c’è stato. SIAG ha agito correttamente, rispondendo e risolvendo subito il problema, perché il punto è che le aziende che subiscono l’attacco hanno a loro volta un codice di comportamento.

E cioè?

Sono tenute a rispondere molto velocemente all’attaccante che si è autodenunciato e di solito lo ringraziano, alcune anche pubblicamente, e lo ricompensano, magari anche con una maglietta. Ma molte aziende non lo fanno.

 

Mi perdoni, ma come è potuto accadere che nel 2021 sia stata lasciata in un sistema una falla che è nella top 10 delle falle del 2007?

Gli errori si fanno, è vero, ma questo sinceramente non me lo so spiegare bene neanche io. E’ chiaro che la responsabilità dei test non può essere lasciata su chi realizza il software. Se il test di sistemi con dati talmente sensibili viene fatto da esterni, di solito si evitano problemi di questo tipo. Un paio di settimane fa un problema molto simile a quello di cui stiamo parlando è accaduto nel sistema sanitario germanico rispetto a dati sensibili di pazienti con disturbi mentali. E pure in quel caso il test era stato fatto dall’azienda che aveva fatto il software. Questa è una cosa da evitare.

Il dark web? Quando sei costretto ad entrarci vedi cose che non vorresti mai vedere.

Quindi ci sono hacker buoni, non solo i cattivi che di solito si vedono nei film.

Sì, esatto, quelli che agiscono per scopi e utilità propri sono sempre di meno. Ci sono poi quelli che penetrano nei sistemi e vendono le informazioni a terzi, quelli che lo fanno a scopo didattico e quelli che lo fanno per un mondo più sicuro. Per fare un esempio, gli hacker di Anonymous, dopo l’inizio della guerra in Ucraina, hanno preso in giro 2000 siti in Russia. Una cosa, per dirlo chiaramente, pericolosa e che crea danni. Quando violi un sito, lo rovini e commetti un reato.

Quanto è frequente per voi informatici l’uso del cosiddetto dark web, che di solito viene associato a cose turpi, come i siti pedopornografici nascosti o il mercato nero di armi e droga, ma che viene anche usato “a fin di bene”. Ci spiega meglio come funziona?

Una piccola porzione del web contiene dei siti diciamo “nascosti” dietro a collegamenti di rete che offuscano sorgente e destinazione del traffico, non sono indicizzati e non sono accessibili con i normali browser ma solo con un apposito software che consente di tenere l’anonimato.  Nel dark web ci sono decine di migliaia di indirizzi URL mentre nella grande rete sono miliardi. Quando ci entri vedi dall’esterno cose orrende che non vorresti vedere, ma il meccanismo di offuscazione alla base del dark web viene utilizzato regolarmente dagli informatici quando vogliono entrare in un sito “normale” senza lasciare tracce. In Stati non democratici, per esempio, viene usato da attivisti per accedere a siti vietati che da noi invece sono concessi. Un grande sito di informazione famoso per le inchieste dei suoi giornalisti, per dire, ha aperto anche una sorta di casella postale nel dark web per consentire alle “talpe” di lasciare documenti in forma completamente anonima.