La Lanterna del Popolo

"La Lanterna del Popolo" - Mensile di Attualità, Cronaca, Cultura, Informazione e OpinioneBenvenuti nel Sito Ufficiale de "La Lanterna del Popolo" - Carovigno (BR) - ITALIA

 

 

 

 

Comune di Carovigno sotto attacco Hacker:

chiesto un riscatto di 2.000 euro in Bitcoin

Un virus Ransomware evidenzia le pecche e la vulnerabilità del sistema informatico dell'ente comunale

 

© - La Lanterna del Popolo (2019)

di Domenico Basile

Anno nuovo vita nuova recita un antico detto.

A Carovigno invece l'anno nuovo porta soltanto nuovi problemi da risolvere per l'amministrazione comunale guidata dal Sindaco Massimo Lanzilotti.

Infatti, il 2 Gennaio, al rientro dalle festività, qualcuno si è accorto che il sistema informatico del Comune di Carovigno aveva subito un attacco hacker attraverso il quale sarebbe stato chiesto addirittura un "riscatto" di 2.000 euro in Bitcoin, la nota criptovaluta.

In pratica qualcuno sarebbe riuscito a penetrare via internet nel sistema informatico del Comune di Carovigno, impossessandosi di dati sensibili, dai dati anagrafici alle informazioni sui tributi comunali.

Stando alle informazioni raccolte sembra che la segretaria comunale abbia sporto denuncia contro ignoti presso la Compagnia dei Carabinieri di San Vito dei Normanni perché, dopo aver avviato il suo computer, non è riuscita ad accedere al sistema: qualcuno, nella notte tra l'1 e il 2 Gennaio, avrebbe violato la rete informatica tramite posta elettronica, chiedendo poi all'ente comunale un riscatto per sbloccare i dati sequestrati.

Certo che se cercavano soldi questi hacker hanno preso di mira proprio il comune sbagliato!

Ad ogni modo i carabinieri hanno chiesto l’intervento dei tecnici informatici specializzati che già in passato erano scesi in campo per un attacco hacker molto simile al server del Comune di Francavilla Fontana.

I carabinieri indagano alla ricerca degli autori del reato informatico, ma sull'indagine c'è il massimo riservo in quanto sulla stessa vige il segreto istruttorio.

I tecnici, invece, hanno lavorato per cercare di recuperare i dati e ripristinare il sistema.

Noi invece proviamo a capirne qualcosa di più.

Innanzitutto che tipo di virus è quello che ha "infettato" il Comune di Carovigno?

Si tratta di una classe di malware detta "Ransomware" che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto (in inglese ransom), per poterli ripristinarli.

Tecnicamente sono dei "Trojan horse" crittografici ed hanno come unico scopo l’estorsione di denaro, operando un "sequestro di file", attraverso la cifratura che, in pratica, rende il pc inutilizzabile.

Al posto del classico sfondo solitamente appare un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta: in cambio di una password in grado di sbloccare tutti i contenuti, intima di versare una somma di denaro abbastanza elevata (nel caso del "pulcioso" Comune di Carovigno è stata chiesta la somma di 2.000 euro in Bitcoin, la famosa valuta elettronica.

L’obiettivo dei malintenzionati è, quindi, quello di batter cassa, un po' come quelle situazioni in cui privati cittadini sono contattati anonimamente violando la loro posta elettronica, rubando la password, e chiedendo un riscatto, sempre in Bitcoin, per evitare la diffusione di video con contenuti privati e spesso "imbarazzanti".

Innanzitutto bisognerebbe capire se l'email incriminata è stata indirizzata ed aperta su una email privata o su una email istituzionale.

Se l'attacco è giunto su una email privata la cosa è grave, poichè il dipendente comunale in questione avrebbe dovuto aprire la sua mail privata sul proprio pc domestico o sul proprio smartphone, ma non usando il personal computer messo a disposizione dall'ente per svolgere la propria attività lavorativa.

Se invece l'attacco è giunto su email istituzionale diventa fondamentale capire come questo virus abbia potuto penetrare superando ben 3 controlli di sicurezza: quello del server RUPAR Puglia (Rete Unitaria della Pubblica Amministrazione Regionale), il server Clio.com (internet provider su cui è ospitato il sito internet dell'ente), e infine il server comunale.

A nostro avviso questa ipotesi appare alquanto strana e soprattutto molto improbabile.

Se così fosse significherebbe che all'interno della rete RUPAR Puglia esistono grosse falle che potrebbero consentire a chiunque di poter penetrare facilmente il sistema informatico di qualsiasi ente comunale, e ciò sarebbe di una gravità inaudita.

Eppure c'è qualcosa non va.

Abbiamo infatti condotto una ricerca per comprendere quanto negli ultimi anni l'ente comunale di Carovigno abbia speso nel campo informatico, e dobbiamo dire che non sono state certamente lesinate risorse.

Tutto inizia con la delibera di Giunta Municipale n° 292 del 30 Dicembre 2014 con cui l’amministrazione comunale impartiva apposita direttiva all’Ufficio CED – Sistemi Informativi di predisporre tutti gli atti per l’adeguamento della tecnostruttura informatica dell’ente comunale in particolare adottando soluzioni per il Business Continuity (cioè la possibilità di poter lavorare ininterrottamente con soluzione di continuità), ed il Disaster Recovery (cioè la possibilità di poter recuperare il sistema e le banche dati in seguito a qualsiasi evento che possa aver messo a rischio l'integrità di banche dati, etc.), Virtualizzazione dei Server fisici e creazione di una Storage Area Network (una rete interconnessa composta da dispositivi di immagazzinamento dei dati disponibili per qualsiasi computer collegato), nel rispetto di quanto previsto dal Nuovo Codice dell’Amministrazione Digitale.

Da quel momento sono seguiti i seguenti atti.

Determinazione Reg. Gen. N. 1039 del 26/11/2014

Acquisto stampante per ufficio stato civile.

Euro 508,65 (IVA compresa al 22%).

Determinazione Reg. Gen. N. 1238 del 31/12/2014

Acquisto macchine per servizi e calcolatrici, servizi informatici, manutenzione mezzi tecnici, assistenza informatica, aggiornamento e materiale di consumo.

Euro 20.998,86 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 385 del 16/04/2015

Componenti hardware vari.

Euro 1.153,02 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 450 del 29/04/2015

Componenti hardware per upgrade Server di rete in dotazione all’ente modello HP ProLiant DL380p Gen8.

Euro 4.106,52 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 659 del 02/07/2015

Potenziamento Server di rete HP Proliant DL380p Gen8, con un incremento di CPU e di RAM.

Acquisto di un nuovo Server di rete, in configurazione gemella rispetto al Server attuale, per realizzare un Cluster in alta disponibilità (High Availability Cluster).

Implementazione di una Storage Area Network (SAN), per consolidare le attuali risorse di immagazzinamento e migliorarne le prestazioni e l’affidabilità.

Attuare soluzioni per il Disaster Recovery prevedendo un’unità di storage secondaria Network Attached Storage (NAS) in collegamento con l’unità primaria, per la copia di backup su un ulteriore livello da delocalizzare in un ambiente remoto rispetto alla sala Server dell’ente (che per esempio in caso di incendio della sala server impedirebbe la perdita di tutti i dati).

Implementare soluzioni per la Continuità Operativa per garantire un livello elevato livello di erogazione dei servizi agli utenti con 2 Server fisici che realizzeranno 4 Server virtuali.

Euro 28.362,56 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 1027 del 12/10/2015

Ulteriore potenziamento Server di rete.

Euro 9.971,57 (IVA compresa al 22%).

Determinazione Reg. Gen. N. 1160 del 16/11/2015

Fornitura di un numero indefinito di personal computer e monitor a colori 23.8”.

Euro 7.196,78 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 1248 del 30/11/2015

Attività di Technical Account Manager, servizio di supporto tecnico altamente qualificato per operare su apparecchiature HP per il setup hardware e software e messa in esercizio del nuovo Server.

Euro 2.562,00 (IVA inclusa al 22%)

Determinazione Reg. Gen. N. 63 del 05/02/2016

Componenti hardware vari.

Euro 5.293,63 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 185 del 29/02/2016

Componenti hardware vari.

Euro 667,34 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 889 del 26/09/2016

Acquisto di licenze software antivirus per i computer dell'ente comunale

Euro 1.163,17 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 1097 del 28/11/2016

Acquisto di n° 18 computer e relativi monitor per gli uffici dell'ente comunale.

Euro 11.572,92 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 1202 del 28.12.2016

Acquisto Licenze Software per l'Office Automation.

Euro 5.978,00 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 572 del 15/06/2017

Acquisto computer e monitor per gli uffici dell'ente.

Euro 2.571.76 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 596 del 20/06/2017

Adesione alla piattaforma informatica di collaborazione con le pubbliche amministrazioni "Passweb".

Euro 1.830,00 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 947 del 06/09/2017

Acquisto computer e monitor per gli uffici demografici

Euro 3.916,20 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 733 del 12/07/2017

Acquisto computer e monitor per gli uffici dell'ente.

Euro 6.723,42 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 735 del 12/07/2017

Fornitura di una unità UPS (Uninterruptible Power Supply) da dedicare alla protezione della sala Server.

Euro 5.007,60 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 1405 del 07/12/2017

Acquisto di n° 4 Hard Disk.

Euro 1.373,28 (IVA compresa al 22%)

Determinazione Reg. Gen. N. 769 del 25/09/2018

Fornitura del servizio di assistenza - Post Warranty Foundation Care NBD – sui Server dell’Ente

Euro 6.150,85 (IVA compresa al 22%)

Pertanto negli ultimi 4 anni sono stati spesi almeno 127.108,13 euro in materiale informatico.

Ma non basta, perché a queste somme devono essere aggiunte le somme spese per le risorse umane.

Più precisamente sono stati spesi circa 8.000,00 euro annui per un tecnico informatico specializzato che curava l’assistenza e la manutenzione di tutti i personal computer e stampanti dell’ente comunale, somme che sono state erogate per gli anni 2014 e 2015 per un totale quindi di 16.000 euro circa.

Ma soprattutto, sono stati spesi circa 50.000,00 euro annui per un ingegnere informatico sotto contratto con la società Carbinia, poi diventato dipendente del Comune di Carovigno, somme che sono state erogate dal 2014 al 2017 per 4 anni per un totale quindi di circa 200.000,00 euro.

Pertanto la somma complessiva spesa nel settore informatico ascende ad oltre 340.000,00 euro!

Siamo certi di aver perso per strada più di qualche atto amministrativo, ma già questa ricerca è stata più che sufficiente per dimostrare la quantità di risorse che è stata spesa nella ferma convinzione che non abbia prodotto i risultati sperati, ma a questo punto ci appare quanto mai doveroso aprire una parentesi.

Abbiamo chiarito che il Comune di Carovigno da ben 3 anni è privo di un tecnico informatico, cioè della figura specializzata che dovrebbe occuparsi dell'assistenza e della manutenzione, colui che per intenderci dovrebbe mettere mano all'interno dei personal computer.

Certo, in compenso è presente un ingegnere informatico, cioè la figura specializzata che dovrebbe occuparsi della programmazione, dei software, della configurazione dei sistemi, etc.

Questa figura però non può mettere mano all'interno dei pc, non può installare o disinstallare componenti hardware (processori, schede video, schede di rete, ram, etc.), non può in nessun modo effettuare nessun tipo di intervento fisico, non perchè non ne sia capace, ma perchè non è autorizzato a farlo, anche nel rispetto della legge sulla sicurezza negli ambienti di lavoro.

Per farvi un esempio molto chiaro e concreto, è un po' la stessa tipologia di conflitto che caratterizza da sempre la figura dell'odontoiatra (comunemente detto dentista) e l'odontotecnico.

Il primo è un laureato, un medico, ed è l'unico autorizzato a compiere interventi medicali sul paziente (anestesie, estrazioni, otturazioni, devitalizzazioni, implantologia, etc.), il secondo è un diplomato, non è un medico, ma è l'unico autorizzato a costruire apparecchi ortodontici e protesi dentarie fisse e mobili.

Ciò premesso viene naturale domandarsi, se il tecnico informatico non è presente sul Comune di Carovigno da 3 anni a questa parte, tutti gli interventi di manutenzione necessari al buon funzionamento degli ufficio dell'ente comunale da chi vengono effettuati?

Se l'ingegnere informatico non è autorizzato e abilitato ad effettuare tali interventi, da chi vengono effettuati?

Anche in questo caso non risultano atti di affidamento del servizio di manutenzione a ditte esterne o a tecnici informatici specializzati ... ma allora cosa accade?

Forse qualcuno non autorizzato sta svolgendo delle mansioni che non gli competono, o forse la famosa arte dell'arrangiare ha preso il sopravvento?

Ma tornando al discorso di partenza, nonostante siano stati spesi oltre 340.000 euro negli ultimi 4 anni un virus ha potuto penetrare il sistema, ma allora ci poniamo una serie di domande relativamente al livello di sicurezza del Comune di Carovigno.

Innanzitutto viene da chiedersi, ma il server non era dotato di antivirus?

Se ne era dotato come ha potuto infettarsi?

Ed ancora, se sono state acquistate numerose licenze antivirus, immaginiamo che tutti i computer client dovessero essere protetti, come è stato possibile che ciò non sia accaduto?

Forse gli antivirus non sono stati installati su tutti i computer dell'ente comunale?

O forse ancora ci sono computer sui quali sono installati, ma sono stati manualmente disattivati?

Inoltre, su ogni computer dovrebbe essere attivo il sistema Firewall, che dovrebbe svolgere la funzione di impedire (o almeno limitare) l'ingresso di potenziali minacce provenienti dalla rete informatica.

Forse ci sono computer dotati di Firewall, ma sono stati disattivati manualmente?

Che dire poi dei sistemi operativi?

Nel Comune di Carovigno sono presenti decine e decine di computer dislocati nei vari uffici: quanti di questi computer sono muniti di licenza d'uso per il sistema operativo Microsoft Windows installato?

Quanti di questi computer sono muniti di licenza d'uso per aver installato il pacchetto Microsoft Office?

Ricordiamo che la licenza d'uso consente di poter scaricare gli aggiornamenti del software dalla casa madre che consentono di poter fronteggiare le sempre maggiori minacce provenienti dalla rete.

Che tipo di utilizzo viene poi fatto dei computer da parte dei vari dipendenti comunali?

Vengono inserite chiavette USB all'interno dei computer dell'ente comunale?

Queste chiavette USB, che molto spesso circolano infilandosi nei computer domestici, in quelli delle varie copisterie, in computer di amici e colleghi, etc, vengono sempre controllate preventivamente?

Oppure vengono solo inserite ed aperte?

Come vedete sono molteplici le domande legittime che ci si deve porre per comprendere che tipo di utilizzo dei pc viene fatto da parte dei dipendenti comunali.

Non dobbiamo e non possiamo dimenticare che molti anni or sono la totale accessibilità alla rete internet di cui godevano i dipendenti comunali consentiva loro di poter navigare anche su siti che ospitavano una webcam puntata su Piazza Nzegna e che alcuni dipendenti comunali (i soliti furbetti) utilizzavano la stessa come se fosse una specie di videocitofono, molto utile per tenere sotto controllo l'ingresso del municipio e monitorare l'arrivo del dirigente per potersi mettere al lavoro con maggior impegno.

In questo è però l’attacco sembrerebbe sia stato rivolto ad un server di un’amministrazione comunale, interessando dati privati e sensibili quali quelli anagrafici e quelli legati all'ufficio tributi.

Viene quindi naturale chiedersi perchè proprio i dati anagrafici e quelli dell'ufficio tributi?

E soprattutto chi ci assicura che i dati una volta ripristinati siano rimasti tali e quali, ovvero inalterati?

E se invece il riscatto fosse soltanto una copertura?

Se invece si fosse trattato soltanto di una operazione di intelligence commissionata da qualche grosso evasore fiscale, finalizzata alla distruzione dei debiti relativi ai tributi comunali non pagati?

E' una possibilità che non possiamo escludere.

Chi controllerà mai se i dati hanno subito variazioni?

Nessuno, ma intanto il sistema è stato violato, e siamo certi che le nostre domande resteranno senza risposta.