mercoledì, dicembre 12, 2018

PEC sfondata

pec, peeec pec pec.

Vorrei, per l'ennesima volta, porre un accento sul come la PEC (posta esageratamente cifona) pone in pericolo la nostra vita.
Ne abbiamo parlato in tutte le salse del fatto che e' stolta, in uno dei tanti scritti citai il fatto che non e' una posta certificata ma una banale mail con un paio di modifiche gestita da un gruppo di benedetti dallo stato.
Conseguenza naturale, feci notare, e' chiedersi che mailer usano e chi li aggiorna.

Eggia', come e' successo ai grillini, se tu usi un programma bello quanto vuoi e lo modifichi poi devi farlo per tutte le versioni da qui al termine dei tuoi giorni. 
Cosa mi garantisce che il SW, generalmente GPL, non potendo certo andare da MS a chiedere i sorgenti, venga gestito? 

Chi segue le criticita' di un dovecot, un postfix o altro (come il visualizzatore di emergenza per la webmail) non solo controllera che sia sia patchato ma che per ogni step sia rifatta la personalizzazione ed essa sia compatibile con i settaggi conseguenti. 
Non parliamo poi di capire come fare con sendmail che e' gia' un incubo settarlo, figuriamoci modificarlo.

Profeta?
No, rompicoglioni.

Ecco che torniamo ai tempi di fidonet.
Vediamo le dichiarazione di chi continua a voler mantenere la posta guasta (PEC)

“Lo Stato e la Pubblica Amministrazione in Italia nei giorni scorsi sono state vittime di un cyber attacco, passato tramite la Posta Elettronica Certificata (PEC). E’ stata un’operazione di spionaggio cibernetico, in cui gli hacker malevoli hanno rubato dati personali dei proprietari della PEC.”

non e' "passato" e usare paroloni non cambia: hanno saccheggiato cio' che una mail sicura dovrebbe mantenere tale.
Nella pubblicita' sicura, nei fatti libero.it.
E non chiamiamo certificato cio' che non lo e'!


“ ad hoc. Le vittime sono soggetti privati e pubblici. In particolare appartenenti alle istituzioni che fanno parte del Comitato Interministeriale per la Sicurezza della Repubblica (CISR). Cioè Presidenza del Consiglio, Autorità Delegata e i ministeri di Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico e Giustizia. “

In pratica hanno ucciso lo stato.
Perche quando io leggo le mail dei ministri e giudici leggo anche le mail di chi ha interagito con loro, VIOLANDO PER INTERPOSTA CASELLA ANCHE LE LORO COMUNICAZIONI.

“Il vice direttore del Dipartimento Informazioni per la Sicurezza (DIS), Roberto Baldoni, ha spiegato che è proprio quest’ultimo dicastero a essere stato coinvolto in maniera più visibile”

A questo punto ci dicano quanto e' profondo il buco.
SILENZIO.

“Coinvolte 98.000 caselle di posta elettronica certificata, appartenenti a enti della PA collegati con il CISR. Colpita soprattutto la Giustizia ma non solo. In tutto sono state compromesse 500.000 mail di soggetti privati e di altre pubbliche amministrazioni”

Permettetemi di dubitare dei numeri
Se sono violati 100.000 account delle due l'una:
O lo stato cerca di non usare la mail PEC perche consapevole dell'acronimo (Posta elettronica di Cacca) e sa essere incerta, insicura e che spesso fallisce.
O, conoscendo chi usa le mail parliamo di almeno 5.000.000 di mail. Chi caxxo ha 5 mail (da conservarsi 3 anni) nell'account!

possiamo avere piu' particolari come accade per violazione ben meno importanti e come si fa in posti civili?

“ Baldoni ha spiegato che “in un sistema di gestione del rischio partiamo per mettere al sicuro gli asset critici del sistema paese. Partiamo dal CISR e poi ci allarghiamo. Ci siamo concentrati soprattutto sulla chiusura della problematica e nel rispristino dei sistemi, che ancora è in atto. La polizia postale sta portando avanti indagini per risalire ai responsabili, che non provengono dall’Italia”, ha aggiunto il vice direttore del DIS.”

che bello!
Chiudiamo le stalle dopo la fuga dei buoi, no, non la chiudiamo, mettiamo solo una PECza.
A quando la prox?

“Esfiltrate informazioni personali dei proprietari delle caselle di posta elettronica. Dai nomi utenti alle password. Queste vanno immediatamente cambiate da tutti coloro che potrebbero essere toccati dall’attacco cibernetico”

Lascio immaginare quando la pass e' la stessa per il clouddo, per la gestione di fabokko eccetera. Oltretutto se erano scaltri chissa qual altre info, ma vige il SILENZIO


“Secondo Baldoni, il cyber attacco “non è sembrato di estrema raffinatezza tecnica dal punto di vista operativo, ma bisogna ancora effettuare le analisi”. “

A conferma che non e' sto necessario compromettere roba ma solo leggersi dei bollettini e intervenire su strutture accrocchiate alla piffero. Dopotutto la PEC non e' certo un sistema sicuro o certificato, no?


“Ci sono state esfiltrazioni di dati personali, non di documenti – ha sottolineato il vice direttore del DIS . Cioè appartenenti alla persona che è il proprietario della casella di posta elettronica”.

fammi capire, hanno copiaincollato milioni di mail e queste non sono documenti?
Piacerebbe dirlo in faccia ad un giudice che la PEC non e' un documento. secondo me diventa paonazzo.


“Dagli nomi utenti alle password cifrate. La stima dei danni, però, non è stata ancora ultimata. Si consiglia, di conseguenza, a chiunque possieda una mail PEC di cambiare immediatamente le password.”

Innanzi tutto a distanza di un mese e' sotto SILENZIO il vero impatto colossale della perdita dati. Ma chissenefrega che il governo sia ricattabile, come dei privati cittadini, o che qualcuno possa entrare al posto vostro (nome utente e pass...) in una mail che non certifica un tubo ma legalmente e' equiparata per motivi cabalistici alla vostra firma.
Il minimo era prendere l'elenco completo di mail PEC e inviare un avviso perentorio di cambiare pass.. Tenuto conto che gli idioti installano WA sul cello perche non sanno gestire un'account sarebbe gia' poco.
Intanto suo giornali il SILENZIO a parte questa comunicazione.
Certo, le dichiarazioni di dimaio sulle frazioni 2.0, la matematica si cambia, sono importanti e non vanno perse ma raccolte come perle di saggezza. Pero' qui e' successo qualcosa di molto grave.

Baldoni: Il cyber attacco “è stato grave e ha avuto ricadute importanti. Ma noi stavamo lavorando da tempo su una serie di punti, che definiscono cosa dobbiamo fare per il nostro sistema cibernetico nazionale”.

Cybernetico a me fa accapponare la pelle. 
Ragazzi non stiamo parlando di evangelion o ghost in the shell. 
Stiamo parlando di un maledetto e banale server di posta che aveva, stando al tipo di attacco che si intravede fra le varie frasi, un COLOSSALE E FOXXUTO BUCO che poteva sfruttare un quindicenne.
Cyber sta minc... cos significa cyber? “che riguarda i metodi per riprodurre processi di controllo e comunicazione degli esseri viventi in sistemi elettronici, informatici e meccanici
la prox chiamala cloud e hai fatto jackpot.

Giusto dire “è stato grave e ha avuto ricadute importanti” ma ragazzi, nessuna testata ha detto in cosa queste importanti cose siano. Sembra che per i giornalisti sia stato meno importante di perdere qualche account di videogame.
In ultimo “stavamo lavorando” fa ridere. Chiudete la pec e bon, fine. Pace e bene per tutti.

“Di fatto, è stata una vera e propria esercitazione del sistema paese e in particolare di tutta l’architettura della cyber security italiana”

Fammi capire, certo avete imparato cose che applicate a tutti (tipo ricordarsi di patchare?), ma tra una battaglia persa in maniera ecclatante, con morti feriti eccetera e una esercitazione, a casa mia, e' la differenza fra lanciare un manichino contro la barriera o essere seduto in auto mentre ti spalmi sul muso di un iveco.

Va bene prenderla con filosofia, ma forse se i giornalisti che hanno difficolta a leggere i manuali ikea non hanno dato risalto alla notizia, sparita velocemente, forse e' colpa del minimizzare.

Insomma dopo un mese il SILENZIO

il SILENZIO sul provider attaccato, io lo vorrei sapere ed eviterei di compre da lui qualunque servizio, visto che non e' in grado di gestire nemmeno la posta. Figuriamoci un web server o un host complesso.

Il SILENZIO verso chi ha subito, per interposta casella, l'attacco.

Il SILENZIO sulla criticita' dei documenti, certo milioni si conteggiano a fatica, ma se esce un accordo segreto fra stati o entità con migliaia di dipendenti sarebbe il caso di saperlo, no?

SILENZIO sulle precise modalita' di attacco, forse perche al momento le pec erano tutte vulnerabili a quello che e' stato descritto come un attacco low tech.

SILENZIO sul fatto che probabilmente questo attacco e' stato scoperto perche l'attaccante era pocofurbo: se cerchi di scaricare 100.000 account in una sola botta un po di traffico si genera e rallenti parecchia roba. Chi e' che dice che non ci sono stati altri attacchi piu' furbi che sincronizzavano un account per volta? NESSUNO. Ne scarico qualche decina alla volta e mi tengo le pass. Salvo botte di rame, col cavolo che mi becchi su un sistema del genere (grillinosystem). Negli anni chi dice che non sia stato fatto? In 5 anni ho copia completa del sistema, un mirror non autorizzato.

SILENZIO sul fatto che, stando ai fatti fino ad oggi chiari,  le comunicazioni della PEC sono rischiose, molto piu' rischiose di un google.it, forse persino peggio di un libero.it. 
Forse e' il caso di non usare la  PEC per comunicazioni importanti.

Al solito la PEC si dimostra fallibile:
non si conosce il contenuto
e, ora, e' persino letta dal primo sconosciuto che passa e il primo che passa ha la password della mia casella dalla quale puo' spedire quel che vuole. (quando hai 100.000 pass, anche se sono criptate, e ci sarebbe da chiedersi come, per via della quantita', o della lunghezza standardizzata, e il fatto che potresti conoscerne alcune, potresti riuscire a trovarne la chiave come uno sforzo relativamente contenuto.)

Il prossimo passo e' che una PEC venga automaticamente mandata in replica ad una pagina vikileaks con il vostro nomeutente. Almeno cosi' qualcosa in piu' di libero.it certificherebbe.

Sono quasi piu' di 10 anni che dico che la PEC non ha i presupposti per definirsi “una cosa seria”. 
Al piu' uno scherzo.
Dalle prime specifiche era chiaro che vi erano dei problemi di design enormi.
Dopo decine di variazioni e cambiamenti purtroppo rimane PEC.
Tutti i problemi, una volta all'anno, arrivano a ricordarci che e' un errore
Perché io posso mettere due turbofan e limitare la velocità altrui per legge, ma una bicicletta mai sara' un'aereo.

Tu puoi bloccare l'uso della mail e della mail certificata, per legge e per arzigoli, ma la PEC (posta elettronica COMUNE) mai diventerà certificante e sicura se non lo e' per design.

Eppure si prosegue.
imperterriti.
sbagliare e' umano perseverare e' da imbecilli.

Siamo lo stato degli imbecilli.
e' CERTIFICATO.

3 commenti:

Stefano ha detto...

E adesso si azzardano pure a rompere los coconas a tutte le aziende con la menata del GDPR... quanto il colabrodo sono loro... Chissa' il Garante della Praivassi cosa ne pensa... oppure fa come Moscovici con il deficit al 3.4 della SUA Francia...

ijk ha detto...

Una cosa buona l'hanno fatta. Hanno abolito il Sistri.
Ma non illudiamoci, il sostituto annunciato potrebbe essere peggio. Difficile ma possibile.

Stefano ha detto...

"Ma non illudiamoci, il sostituto annunciato potrebbe essere peggio. Difficile ma possibile."

Non potrebbe, ma sicuramente.

Mai mettere limiti alla Provvidenza. E neppure alla stupidita'.

Ricordiamoci che la burocrazia ha un solo, altissimo scopo: rendere difficile il facile attraverso l'inutile. E piu' i sistemi tecnologici evoluti tendono alla velocizzazione e semplificazione piu' la burocrazia fa sforzi immani per rendere il tutto pastrocchiato, incomprensibile ed ingestibile, vedi la PEC, la posta certificata esisteva gia' da decenni, veloce ed affidabile, ma sono riusciti ad "impastoiarla" di inutili orpelli e specifiche fuori standard in modo da renderla lenta pesante e soprattutto inaffidabile e violabile, o la fatturazione elettronica, farraginosa e in cui la privacy e' alla berlina dell'ultimo lacche' della AdE.

Sono i contrari di Re Mida: tutto quello che toccano si trasforma in me**a.