Vorrei, per l'ennesima volta, porre un
accento sul come la PEC (posta esageratamente cifona) pone in
pericolo la nostra vita.
Ne abbiamo parlato in tutte le salse
del fatto che e' stolta, in uno dei tanti scritti citai il fatto che
non e' una posta certificata ma una banale mail con un paio di
modifiche gestita da un gruppo di benedetti dallo stato.
Conseguenza naturale, feci notare, e'
chiedersi che mailer usano e chi li aggiorna.
Eggia', come e' successo ai grillini,
se tu usi un programma bello quanto vuoi e lo modifichi poi devi
farlo per tutte le versioni da qui al termine dei tuoi giorni.
Cosa
mi garantisce che il SW, generalmente GPL, non potendo certo andare
da MS a chiedere i sorgenti, venga gestito?
Chi segue le criticita' di un
dovecot, un postfix o altro (come il visualizzatore di emergenza per la webmail) non solo controllera che sia sia patchato ma che per ogni
step sia rifatta la personalizzazione ed essa sia compatibile con i
settaggi conseguenti.
Non parliamo poi di capire come fare con
sendmail che e' gia' un incubo settarlo, figuriamoci modificarlo.
Profeta?
No, rompicoglioni.
Ecco che torniamo ai tempi di fidonet.
Vediamo le dichiarazione di chi
continua a voler mantenere la posta guasta (PEC)
“Lo Stato e la Pubblica
Amministrazione in Italia nei giorni scorsi sono state vittime di un
cyber attacco, passato tramite la Posta Elettronica Certificata
(PEC). E’ stata un’operazione di spionaggio cibernetico, in cui
gli hacker malevoli hanno rubato dati personali dei proprietari della
PEC.”
non e' "passato" e usare paroloni non
cambia: hanno saccheggiato cio' che una mail sicura dovrebbe
mantenere tale.
Nella pubblicita' sicura, nei fatti
libero.it.
E non chiamiamo certificato cio' che
non lo e'!
“ ad hoc. Le vittime sono soggetti
privati e pubblici. In particolare appartenenti alle istituzioni che
fanno parte del Comitato Interministeriale per la Sicurezza della
Repubblica (CISR). Cioè Presidenza del Consiglio, Autorità Delegata
e i ministeri di Esteri, Difesa, Interno, Economia e Finanze,
Sviluppo Economico e Giustizia. “
In pratica hanno ucciso lo stato.
Perche quando io leggo le mail dei
ministri e giudici leggo anche le mail di chi ha interagito con loro,
VIOLANDO PER INTERPOSTA CASELLA ANCHE LE LORO COMUNICAZIONI.
“Il vice direttore del Dipartimento
Informazioni per la Sicurezza (DIS), Roberto Baldoni, ha spiegato che
è proprio quest’ultimo dicastero a essere stato coinvolto in
maniera più visibile”
A questo punto ci dicano quanto e'
profondo il buco.
SILENZIO.
“Coinvolte 98.000 caselle di posta
elettronica certificata, appartenenti a enti della PA collegati con
il CISR. Colpita soprattutto la Giustizia ma non solo. In tutto sono
state compromesse 500.000 mail di soggetti privati e di altre
pubbliche amministrazioni”
Permettetemi di dubitare dei numeri
Se sono violati 100.000 account delle
due l'una:
O lo stato cerca di non usare la mail
PEC perche consapevole dell'acronimo (Posta elettronica di Cacca) e
sa essere incerta, insicura e che spesso fallisce.
O, conoscendo chi usa le mail parliamo
di almeno 5.000.000 di mail. Chi caxxo ha 5 mail (da conservarsi 3
anni) nell'account!
possiamo avere piu' particolari come accade per violazione ben meno importanti e come si fa in posti civili?
“ Baldoni ha spiegato che “in un
sistema di gestione del rischio partiamo per mettere al sicuro gli
asset critici del sistema paese. Partiamo dal CISR e poi ci
allarghiamo. Ci siamo concentrati soprattutto sulla chiusura della
problematica e nel rispristino dei sistemi, che ancora è in atto. La
polizia postale sta portando avanti indagini per risalire ai
responsabili, che non provengono dall’Italia”, ha aggiunto il
vice direttore del DIS.”
che bello!
Chiudiamo le stalle dopo la fuga dei
buoi, no, non la chiudiamo, mettiamo solo una PECza.
A quando la prox?
“Esfiltrate informazioni personali
dei proprietari delle caselle di posta elettronica. Dai nomi utenti
alle password. Queste vanno immediatamente cambiate da tutti coloro
che potrebbero essere toccati dall’attacco cibernetico”
Lascio immaginare quando la pass e' la
stessa per il clouddo, per la gestione di fabokko eccetera.
Oltretutto se erano scaltri chissa qual altre info, ma vige il
SILENZIO
“Secondo Baldoni, il cyber attacco
“non è sembrato di estrema raffinatezza tecnica dal punto di vista
operativo, ma bisogna ancora effettuare le analisi”. “
A conferma che non e' sto necessario compromettere roba ma solo leggersi dei bollettini e intervenire su strutture accrocchiate alla piffero. Dopotutto la PEC non e' certo un sistema sicuro o certificato, no?
“Ci sono state esfiltrazioni di dati
personali, non di documenti – ha sottolineato il vice direttore del
DIS . Cioè appartenenti alla persona che è il proprietario della
casella di posta elettronica”.
fammi capire, hanno copiaincollato
milioni di mail e queste non sono documenti?
Piacerebbe dirlo in faccia ad un
giudice che la PEC non e' un documento. secondo me diventa paonazzo.
“Dagli nomi utenti alle password
cifrate. La stima dei danni, però, non è stata ancora ultimata. Si
consiglia, di conseguenza, a chiunque possieda una mail PEC di
cambiare immediatamente le password.”
Innanzi tutto a distanza di un mese e'
sotto SILENZIO il vero impatto colossale della perdita dati. Ma
chissenefrega che il governo sia ricattabile, come dei privati
cittadini, o che qualcuno possa entrare al posto vostro (nome utente
e pass...) in una mail che non certifica un tubo ma legalmente e'
equiparata per motivi cabalistici alla vostra firma.
Il minimo era prendere l'elenco
completo di mail PEC e inviare un avviso perentorio di cambiare
pass.. Tenuto conto che gli idioti installano WA sul cello perche non
sanno gestire un'account sarebbe gia' poco.
Intanto suo giornali il SILENZIO a
parte questa comunicazione.
Certo, le dichiarazioni di dimaio sulle
frazioni 2.0, la matematica si cambia, sono importanti e non vanno
perse ma raccolte come perle di saggezza. Pero' qui e' successo
qualcosa di molto grave.
Baldoni: Il cyber attacco “è stato
grave e ha avuto ricadute importanti. Ma noi stavamo lavorando da
tempo su una serie di punti, che definiscono cosa dobbiamo fare per
il nostro sistema cibernetico nazionale”.
Cybernetico a me fa accapponare la
pelle.
Ragazzi non stiamo parlando di evangelion o ghost in the
shell.
Stiamo parlando di un maledetto e banale server di posta che
aveva, stando al tipo di attacco che si intravede fra le varie frasi,
un COLOSSALE E FOXXUTO BUCO che poteva sfruttare un quindicenne.
Cyber sta minc... cos significa cyber? “che riguarda i
metodi per riprodurre processi di controllo e comunicazione degli
esseri viventi in sistemi elettronici, informatici e meccanici”
la prox chiamala cloud e hai fatto
jackpot.
Giusto dire “è stato grave e ha
avuto ricadute importanti” ma ragazzi, nessuna testata ha detto in
cosa queste importanti cose siano. Sembra che per i giornalisti sia
stato meno importante di perdere qualche account di videogame.
In ultimo “stavamo lavorando” fa
ridere. Chiudete la pec e bon, fine. Pace e bene per tutti.
“Di fatto, è stata una vera e
propria esercitazione del sistema paese e in particolare di tutta
l’architettura della cyber security italiana”
Fammi capire, certo avete imparato cose
che applicate a tutti (tipo ricordarsi di patchare?), ma tra una
battaglia persa in maniera ecclatante, con morti feriti eccetera e
una esercitazione, a casa mia, e' la differenza fra lanciare un
manichino contro la barriera o essere seduto in auto mentre ti spalmi
sul muso di un iveco.
Va bene prenderla con filosofia, ma
forse se i giornalisti che hanno difficolta a leggere i manuali ikea
non hanno dato risalto alla notizia, sparita velocemente, forse e'
colpa del minimizzare.
Insomma dopo un mese il SILENZIO
il SILENZIO sul provider attaccato, io
lo vorrei sapere ed eviterei di compre da lui qualunque servizio,
visto che non e' in grado di gestire nemmeno la posta. Figuriamoci un
web server o un host complesso.
Il SILENZIO verso chi ha subito, per
interposta casella, l'attacco.
Il SILENZIO sulla criticita' dei
documenti, certo milioni si conteggiano a fatica, ma se esce un
accordo segreto fra stati o entità con migliaia di dipendenti sarebbe
il caso di saperlo, no?
SILENZIO sulle precise modalita' di
attacco, forse perche al momento le pec erano tutte vulnerabili a
quello che e' stato descritto come un attacco low tech.
SILENZIO sul fatto che probabilmente
questo attacco e' stato scoperto perche l'attaccante era pocofurbo:
se cerchi di scaricare 100.000 account in una sola botta un po di
traffico si genera e rallenti parecchia roba. Chi e' che dice che non
ci sono stati altri attacchi piu' furbi che sincronizzavano un
account per volta? NESSUNO. Ne scarico qualche decina alla volta e mi
tengo le pass. Salvo botte di rame, col cavolo che mi becchi su un
sistema del genere (grillinosystem). Negli anni chi dice che non sia stato fatto? In 5 anni ho copia completa del sistema, un mirror non autorizzato.
SILENZIO sul fatto che, stando ai fatti fino ad oggi chiari, le comunicazioni
della PEC sono rischiose, molto piu' rischiose di un google.it, forse
persino peggio di un libero.it.
Forse e' il caso di non usare la PEC per
comunicazioni importanti.
Al solito la PEC si dimostra fallibile:
non si conosce il contenuto
e, ora, e' persino letta dal primo
sconosciuto che passa e il primo che passa ha la password della mia
casella dalla quale puo' spedire quel che vuole. (quando hai 100.000 pass, anche se sono criptate, e ci sarebbe da chiedersi come, per via della quantita', o della lunghezza standardizzata, e il fatto che potresti conoscerne alcune, potresti riuscire a trovarne la chiave come uno sforzo relativamente contenuto.)
Il prossimo passo e' che una PEC venga
automaticamente mandata in replica ad una pagina vikileaks con il
vostro nomeutente. Almeno cosi' qualcosa in piu' di libero.it
certificherebbe.
Sono quasi piu' di 10 anni che dico che
la PEC non ha i presupposti per definirsi “una cosa seria”.
Al
piu' uno scherzo.
Dalle prime specifiche era chiaro che
vi erano dei problemi di design enormi.
Dopo decine di variazioni e cambiamenti
purtroppo rimane PEC.
Tutti i problemi, una volta all'anno, arrivano a ricordarci che e' un errore
Perché io posso mettere due turbofan e
limitare la velocità altrui per legge, ma una bicicletta mai sara'
un'aereo.
Tu puoi bloccare l'uso della mail
e della mail certificata, per legge e per arzigoli, ma la PEC (posta
elettronica COMUNE) mai diventerà certificante e sicura se non lo e' per
design.
imperterriti.
sbagliare e' umano perseverare e' da imbecilli.
Siamo lo stato degli imbecilli.
e' CERTIFICATO.
3 commenti:
E adesso si azzardano pure a rompere los coconas a tutte le aziende con la menata del GDPR... quanto il colabrodo sono loro... Chissa' il Garante della Praivassi cosa ne pensa... oppure fa come Moscovici con il deficit al 3.4 della SUA Francia...
Una cosa buona l'hanno fatta. Hanno abolito il Sistri.
Ma non illudiamoci, il sostituto annunciato potrebbe essere peggio. Difficile ma possibile.
"Ma non illudiamoci, il sostituto annunciato potrebbe essere peggio. Difficile ma possibile."
Non potrebbe, ma sicuramente.
Mai mettere limiti alla Provvidenza. E neppure alla stupidita'.
Ricordiamoci che la burocrazia ha un solo, altissimo scopo: rendere difficile il facile attraverso l'inutile. E piu' i sistemi tecnologici evoluti tendono alla velocizzazione e semplificazione piu' la burocrazia fa sforzi immani per rendere il tutto pastrocchiato, incomprensibile ed ingestibile, vedi la PEC, la posta certificata esisteva gia' da decenni, veloce ed affidabile, ma sono riusciti ad "impastoiarla" di inutili orpelli e specifiche fuori standard in modo da renderla lenta pesante e soprattutto inaffidabile e violabile, o la fatturazione elettronica, farraginosa e in cui la privacy e' alla berlina dell'ultimo lacche' della AdE.
Sono i contrari di Re Mida: tutto quello che toccano si trasforma in me**a.
Posta un commento