Buongiorno,

sulla vicenda di Miano si sono spesi fiumi di inchiostro (virtuale) talvolta anche a sproposito. L'articolo di Wired riportato da Giovanni è forse il più completo che ho letto, per farmi una idea sulla vicenda. Penso che Miano sia certamente dotato di interessanti capacità tecniche usate anche a scopi non del tutto leciti (mi pare di aver letto che anche dietro il Berlusconi Market ci fosse stato lui), che gli hanno permesso di accumulare un discreto patrimonio. Tuttavia, al di là delle attività pseudo-criminose, credo che l'aspetto interessante sia la situazione descritta della controparte, la vittima.

Senza fare victim blaming, sarebbe da chiedersi se almeno le Misure Minime di sicurezza ICT per le PA siano state rispettate. Tra queste, c'è l'inventario degli assets attivi: elemento essenziale per poter mantenere il controllo di un ecosistema, soprattutto se complesso e critico come quello della Giustizia. Mi chiedo se davvero una macchina virtuale può agire indisturbata in questo ecosistema, senza essere notata. Oltre ai vari login e script all'avvio, che un XDR collegato ad un SIEM avrebbe dovuto segnalare come anomali.

Non mi tranquillizza neppure l'uso di WhatsApp da parte dei magistrati, che immagino sia usato anche per scambio di informazioni sui procedimenti penali: uno strumento di IM dove basta un numero di telefono per catturare le conversazioni dove l'utenza partecipa.

Mi chiedo se almeno gli smartphone dei magistrati siano in possesso delle necessarie misure di protezione (PIN, cifratura...) o se, come purtroppo mi capita ancora di vedere, senza alcuna misura di protezione in caso di furto o smarrimento.

In certi momenti dell'intervista a Gratteri, persona che peraltro stimo, ho pensato all'ennesima dimostrazione di estrema ignoranza del contesto informatico contemporaneo e delle sue criticità, tendenza purtroppo abbastanza diffusa tra la popolazione.

Mi chiedo se possiamo permettercelo, soprattutto in ambiti come la Giustizia (o la Sanità, tanto per citarne un altro).

Per concludere, la domanda provocatoria è: Miano ha agito in modo criminale, sicuramente. E' stato tuttavia favorito da un terreno forse un po' troppo fertile dove agire?

Buona giornata.

MP


Il giorno mer 23 ott 2024 alle ore 16:33 380° via nexa <nexa@server-nexa.polito.it> ha scritto:
Buongiorno,

immagino che abbiate almeno sentito parlare di Miano, che è riuscito a
penetrare in vari sistemi informatici tra i quali quelli di diverse
procure nazionali (gestiti dal ministero della giustizia) e le caselle
PEC di magistrati.

Colui sul quale pare che Nicola Gratteri in persona abbia dichiarato «è
riduttivo pensare a lui come un informatico: era un mago
dell’informatica» [1].

Colui il quale raffinatissime inchieste giornalistiche hanno stabilito
che si nascondesse «l'ombra della Russia» [2], che «vendeva informazioni
ai russi e aveva tre milioni sul conto» [3].

Il mio alter ego, che /nel tempo libero/ si occupa di sicurezza
informatica, è da giorni che si chiede quali raffinatissime tecniche "da
hacker" possa aver utilizzato... e mentre attende con ansia gli atti del
processo che si svolgerà tra /qualche/ anno, si imbatte in questa /roba
da complottisti/:

«L’ombra dei dark market dietro le spiate alla Giustizia»
https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/
09.10.24, di Raffaele Angius e Simone Olivelli

Non vi fate trarre in inganno dal titolo, le cose veramente interessanti
sono ben altre:

--8<---------------cut here---------------start------------->8---

Ci sono voluti quattro anni e la collaborazione di tecnici, Forze
dell’Ordine e svariate procure per arrivare all’arresto di Carmelo
Miano, classe 2000, che almeno dalla metà del 2021 si è stabilito nei
cavedi delle infrastrutture più critiche dell’Internet nazionale.

[...] nel 2020, quando la procura di Brescia rinviene indicazioni che
portano gli inquirenti a sospettare che l’hacker possa essere collegato
a un mercato illecito di droga e armi denominato Icarus Market.

Suo socio, sempre secondo le indagini condotte dalla procuratrice Erica
Battaglia, è il vice-sovrintendente di polizia Ivano Impellizzeri, in
servizio a Gela. Sono indagati anche il padre di Miano, Antonino, e la
madre, Antonella Testoni.

[...] secondo le ricostruzioni della procura, riesce a violare la rete
satellitare fornita dalla società Telespazio [...] alla flotta
aeronavale della guardia di finanza e collegata con la rete interna del
corpo.

[...] L’8 giugno del 2023 un funzionario del Coordinamento
interdistrettuale per i sistemi informativi automatizzati (Cisia) della
procura di Palermo nota per la prima volta qualcosa di strano nel suo
computer.

A ogni avvio viene automaticamente lanciato uno script – piccolo
programma che dà delle istruzioni al computer – che raccoglie una
moltitudine di informazioni: utenti connessi, cronologia del browser,
password salvate su Chrome e Firefox, processi in esecuzione.

A una più attenta analisi, emerge che il piccolo software non era un
comune malware scaricato per sbaglio da un funzionario disattento, bensì
uno strumento di attacco distribuito dai sistemi centralizzati del
ministero, con sede a Napoli [...]

È proprio dalla segnalazione del Cisia che, stando alle carte
giudiziarie, nasce l’indagine che ha portato al suo arresto. Le
informazioni raccolte dal programma informatico venivano spedite
direttamente a una cartella sotto il controllo dell’attaccante, nascosta
dentro gli stessi archivi centrali della Direzione generale per i
sistemi informatizzati (Dgsia) del ministero della Giustizia, a Napoli.

Non solo l’hacker ha avuto accesso a computer delle procure di Palermo,
Gela, Roma e altre ancora, ma soprattutto ha stabilito la sua base nel
cuore dell’infrastruttura che risiede a Napoli e da cui vengono smistati
posta elettronica, documenti e fascicoli della massima segretezza.

Ma questo il ministero lo sa da ben prima di giugno del 2023.

[...] È il 26 gennaio del 2022, circa un anno e mezzo prima della
scoperta a Palermo, quando il personale del Cisia della sede di Napoli
nota per la prima volta il comportamento anomalo di un server del
ministero.

Si tratta di una virtual machine [...] in uso alla Cassazione che si
scopre essere collegata alla macchina che gestisce accessi e credenziali
della rete ministeriale. Non avrebbe dovuto.

Quest’ultimo è un server in capo al colosso informatico Microsoft, che
fornisce il grosso dei servizi digitali dai quali dipende il
ministero. Tra questi ci sono Teams per le videoconferenze e
comunicazioni interne, Azure e Onedrive per il cloud e Windows Server
Active Directory per la gestione di utenze, credenziali e sicurezza.

Secondo documenti inediti che IrpiMedia ha potuto consultare, alle 10:53
del mattino, non appena viene notato il comportamento sospetto, i
tecnici del ministero inviano una mail al personale di Microsoft e ai
funzionari che fanno da ponte con l’azienda per chiedere un
accertamento.

La dipendenza del ministero dai sistemi della multinazionale è tale che
proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite
procedura negoziata del pacchetto di supporto premium di Microsoft
(importo massimo dell’assegnazione: 996 mila euro Iva inclusa),
giudicandolo la migliore soluzione per garantire «un elevato livello di
sicurezza» nonché «una garanzia di problem solving su tutti gli elementi
Microsoft che costituiscono l’architettura del Sistema Giustizia».

La risposta non si fa attendere: nel primo pomeriggio il funzionario
ministeriale rassicura i colleghi e spiega che «dalle prime analisi non
ci sono elementi circa il traffico segnalato».

Dalla comunicazione si evince che i tecnici di Microsoft – sempre in
copia negli scambi – si sono occupati del controllo e che addirittura il
computer in uso alla Cassazione risulta «praticamente inutilizzato o
addirittura spento». Solamente due settimane dopo un nuovo sollecito
permette di acquisire l’intero contenuto del computer, che non solo non
era spento ma era anche evidentemente compromesso, come rilevano i
funzionari del ministero.

Dall’analisi emerge che l’hacker aveva ottenuto il controllo di una
delle utenze più importanti dell’infrastruttura: dcsysop, un account con
permessi completi – detto anche “super-utente” – che gli avrebbe
assicurato la possibilità di muoversi da un computer all’altro ma anche
di creare altri utenti con privilegi speciali, «in modo da garantirsi
persistenza completa nell’infrastruttura», spiega a IrpiMedia una fonte
informata sui fatti.

È probabile che sia proprio questa la ragione per la quale il traffico
anomalo non viene immediatamente rilevato: l’attaccante si era camuffato
da utente legittimo e perciò poteva passare inosservato.

Tuttavia la tensione è palpabile nelle sale computer del palazzo di
Giustizia di Napoli. «Abbiamo immediatamente avuto la sensazione che la
situazione fosse seria. Quando rilevi una compromissione a livello di
sistema globale devi dare per scontato che l’attaccante può accedere a
qualunque cosa», spiega sotto garanzia di anonimato un funzionario. Era
precisamente questo il caso.

Secondo fonti contattate da IrpiMedia, dal ministero non arriva però
nemmeno la consueta – e obbligatoria – segnalazione al Garante per la
protezione dei dati personali, che in caso di data breach dovrebbe
essere inviata entro 72 ore.

Il ministero non ha risposto alle richieste di IrpiMedia in merito alla
gestione dell’attacco informatico e delle attività intraprese per
mitigarne l’impatto.

Sia l’escalation tramite l’account dcsysop sia la creazione di un nuovo
utente malevolo avvengono attraverso la rete Tor, sostanzialmente
irrintracciabile e per questo comunemente inibita dai sistemi della
pubblica amministrazione.

«È certo che il perimetro della rete fosse configurato in modo da
inibire tali accessi, pertanto l’unica spiegazione che posso darmi è che
sia stato l’hacker a creare un tunnel dall’interno verso l’esterno, con
la capacità di lasciar entrare connessioni che sfruttano le reti
anonimizzate», ipotizza il funzionario.

Contattata da IrpiMedia, Microsoft non ha risposto a una richiesta di
commento.

Fonti a conoscenza dell’indagine riferiscono in ogni caso di come si sia
immediatamente intervenuti per ricostruire le prime tracce
dell’hacker. Queste portano a un computer della casa circondariale di
Lecce, probabilmente utilizzato dagli avvocati per partecipare in remoto
alle udienze di convalida dei fermi; un altro bersaglio sono i computer
della procura di Brescia, dove l’intenso traffico suggerisce
un’esfiltrazione di dati.

Finita l’analisi, nei primi mesi del 2022 si è provveduto a resettare le
password e bonificare gli apparati informatici, nel convincimento che
l’hacker fosse stato estromesso dai sistemi della giustizia. Da quel
momento infatti non si verificano più attività informatiche sospette che
possano indicare che l’hacker fosse ancora all’interno della rete.

È questo l’inizio della prima indagine interna che svela al ministero
l’esistenza di un fantasma nelle sue infrastrutture. Uno evidentemente
diverso dai soliti a cui ci hanno abituato le pubbliche amministrazioni
italiane, troppo spesso vittime di attacchi brutali volti al pagamento
di un riscatto per restituire l’accesso ai sistemi e ai dati dei
cittadini.

Come ha detto il procuratore capo di Napoli, Nicola Gratteri, durante la
conferenza stampa che ha dato notizia dell’arresto, Miano avrebbe potuto
«bloccare tutto il sistema Giustizia». Ma non l’ha fatto.

Al contrario, dopo la prima scoperta l’attaccante sembra essere stato
eradicato. Ma in verità è rimasto silente e in attesa, come detto, fino
al 2023, quando la segnalazione del funzionario di Palermo riaccende il
timore che l’infezione non fosse stata debellata, ma soltanto
temporaneamente sopita.

[...] I primi passi della scalata di Miano verso il vertice informatico
del ministero iniziano diversi anni fa.

L’intenzione di avere accesso ai sistemi della guardia di finanza nasce
almeno nel 2020 quando, dopo una perquisizione, l’hacker cerca una via
per accedere alla rete interna delle Fiamme gialle.

In principio sono «mail di phishing e ripetuti tentativi di
compromissione e danneggiamento», si legge nell’ordinanza di
applicazione delle misure cautelari. E l’ipotesi è che siano questi
tentativi a portare l’hacker a compromettere i sistemi satellitari di
due imbarcazioni della guardia di finanza, forniti dalla società
italiana Telespazio, e dai quali era possibile accedere alla rete
interna del corpo.

Nel 2021, quando ormai il procedimento a carico di Impellizzeri e Miano
per il riciclaggio dei proventi ottenuti con il market illegale nel dark
web era già stato trasferito per competenza alla procura di Gela, il
bersaglio su cui l’informatico riversa la sua attenzione diventa un
altro: le infrastrutture di Tim e i suoi utenti.

Secondo le stime della procura, tra il 4 e il 5 luglio 2021 Miano riesce
a prelevare dai sistemi di Tim i dati di 23 milioni di utenti consumer,
2,5 milioni di utenti business e 11 milioni di utenti del sistema
antifrode della società.

Le informazioni comprendono nome e cognome, email, codici fiscali,
indirizzi di fatturazione, password (cifrate) e, per l’ultima categoria,
addirittura le morosità.

Per quanto possa sembrare un bersaglio fuori dai suoi interessi
specifici, un simile archivio può rivelarsi un preziosissimo strumento
per condurre nuovi attacchi. Secondo quanto scoperto dalle indagini, a
partire dai dati contenuti nei database, le prime ricerche riguardano i
funzionari di polizia giudiziaria che avevano condotto le indagini di
Brescia e, ovviamente, la pm Erica Battaglia.

Le informazioni acquisite comprendono i dati personali e l’indirizzo di
residenza delle persone cercate.

Pochi giorni dopo, l’11 luglio, riesce invece a ottenere le credenziali
di due tecnici di Noovle, società del gruppo Tim specializzata nel
settore del cloud per le imprese. Una delle utenze compromesse è quella
che si occupa specificamente di gestire la rete dedicata al ministero
della Giustizia.

Grazie a quest’ultima, Miano ricerca e acquisisce 19 caselle di posta
elettronica appartenenti a personale della magistratura delle procure di
Brescia e di Gela oltre che del personale tecnico che gestisce da Napoli
l’infrastruttura della giustizia nazionale.

Tra gli account compromessi compare anche quello della procuratrice di
Brescia Erica Battaglia, titolare sia dell’indagine che riguarda Miano e
Impellizzeri sia di quella sul Berlusconi Market.

[...] Almeno da giugno del 2021, quando per la prima volta prende il
controllo di alcuni account del personale di Tim, Miano inizia a
scandagliare le caselle di posta elettronica certificata dedicate al
deposito e alla ricezione degli atti della procura di Brescia.

Ne scarica undici, tra il 16 agosto e il 23 settembre. Lo stesso giorno,
in un forum su Internet frequentato principalmente da hacker e da
venditori di credenziali, viene pubblicato il fascicolo d’indagine della
procura di Brescia sul Berlusconi Market. Non si è mai scoperto chi
l’abbia pubblicato.

--8<---------------cut here---------------end--------------->8---

Un'altra informazione interessante in merito allo stato della sicurezza
dei sistemi informatici degli organi dello stato la fornisce Il Post:

--8<---------------cut here---------------start------------->8---

Un altro tentativo di infiltrazione riuscito riguarda la rete
satellitare di Telespazio, in cui entrò attraverso il computer di bordo
di una nave di pattuglia della Marina militare ormeggiata a Brindisi.
Dagli accertamenti sembra che il computer fosse accessibile senza
password. L’obiettivo di Miano era la rete interna della Guardia di
Finanza, che per questo servizio si serve proprio della società
Telespazio.

--8<---------------cut here---------------end--------------->8---
(https://www.ilpost.it/2024/10/17/carmelo-miano-hacker-procure/)


Ciao ciao, cybersecurity!  380°



[1] https://web.archive.org/web/20241005141759/https://www.fanpage.it/innovazione/tecnologia/carmelo-miano-la-storia-dellhacker-piu-bravo-ditalia-incastrato-a-24-anni-da-un-errore-banale/

[2] https://web.archive.org/web/20241004230734/https://roma.repubblica.it/cronaca/2024/10/05/news/hacker_carmelo_miano_russia_berlusconi_market-423536713/

[3] https://web.archive.org/web/20241005141701/https://roma.cityrumors.it/cronaca-roma/vendeva-informazioni-ai-russi-e-aveva-tre-milioni-sul-conto-trovato-lhacker-della-garbatella.html

--
380° (Giovanni Biscuolo public alter ego)

«Noi, incompetenti come siamo,
 non abbiamo alcun titolo per suggerire alcunché»

Disinformation flourishes because many people care deeply about injustice
but very few check the facts.  Ask me about <https://stallmansupport.org>.


--

Michele Pinassi
Ufficio Esercizio e tecnologie - Università degli Studi di Siena
tel: 0577.(23)5000 - helpdesk@unisi.it
PGP/GPG key fingerprint 6EC4 9905 84F5 1537 9AB6  33E7 14FC 37E5 3C24 B98E