Buongiorno Michele, Michele Pinassi <michele.pinassi@unisi.it> writes:
sulla vicenda di Miano si sono spesi fiumi di inchiostro (virtuale) talvolta anche a sproposito.
oh certo, anche perché per poter fare valutazioni serie occorre avere _adeguate_ informazioni e troppo spesso quando ci sono incidenti di sicurezza di interesse _pubblico_ queste informazioni sono mantenute riservate... forse per vergogna nel caso specifico, capisco anche che ci siano esigenze di riservatezza dovute ad indagini ancora in corso, ma /dovrebbero/ essere controbilanciate dalle esigenze di adeguata informazione ai cittadini, _anche_ in tema di cibersicurezza
L'articolo di Wired riportato da Giovanni è forse il più completo che ho letto,
per la precisione quello che ho segnalato è di Irpimedia; se c'è n'è uno di Wired ancora più completo lo indicheresti per favore?
per farmi una idea sulla vicenda. Penso che Miano sia certamente dotato di interessanti capacità tecniche usate anche a scopi non del tutto leciti
sì, specificamente è un ottimo "penetration tester", anche se per giudicare il suo livello di /magia/ mancano ancora alcuni dettagli tecnici rilevanti
(mi pare di aver letto che anche dietro il Berlusconi Market ci fosse stato lui),
le indagini su Carmelo Miano iniziano nel 2020 a Brescia per sospetti che lui, assieme ai genitori e a un vice-sovrintendente di polizia, sia collegato a "Icarus Market"; non è chiaro il suo livello di coinvolgimento in "Berlusconi Market" ...ma questi sono dettagli /personali/ (e ovviamente penali) irrilevanti rispetto al nocciolo della questione, ovvero il fatto che Miano avrebbe potuto «bloccare tutto il sistema Giustizia» (ma non lo ha fatto) [...]
Senza fare victim blaming, sarebbe da chiedersi se almeno le Misure Minime di sicurezza ICT per le PA siano state rispettate.
e chi lo può dire? Visto che /al massimo/ la mancata applicazione di tali misure è un "reato" (reato?) amministrativo; chi si prende la briga di indagare _questo_ aspetto, informarci sui risultati e magari prendere provvedimenti?
Tra queste, c'è l'inventario degli assets attivi:
[...]
Oltre ai vari login e script all'avvio, che un XDR collegato ad un SIEM avrebbe dovuto segnalare come anomali.
fossero solo quelli i problemi: se l'articolo non "inventa" le informaizoni tecniche, ci sono una miriade di _palesi_ buchi di sicurezza mi piacerebbe poter leggere i documenti relativi alla valutazione del livello di cibersicurezza [1] dell'infrastruttura ministeriale della giustizia... ma /chi sono/ io per pretendere una tale assurdità!?! Sì perché il problema /infrastrutturale/ si intuisce da questo passo: --8<---------------cut here---------------start------------->8--- La dipendenza del ministero dai sistemi della multinazionale è tale che proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite procedura negoziata del pacchetto di supporto premium di Microsoft (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), giudicandolo la migliore soluzione per garantire «un elevato livello di sicurezza» nonché «una garanzia di problem solving su tutti gli elementi Microsoft che costituiscono l’architettura del Sistema Giustizia». --8<---------------cut here---------------end--------------->8--- (https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/) Secondo me il nocciolo sta praticamente tutto qui: /anche/ la cibersicurezza è appaltata a terzi, che _ovviamente_ forniscono «un elevato livello di sicurezza» nonché «una garanzia di problem solving» «Buongiorno, per favore vorrei 3 etti di cibersicurezza» «'So veniti 3 etti e mezzo, che famo? Lascio?» Se vi paio eccessivamente sarcastico vi invito a leggere le quintalate di belle parole che la Agenzia per la cybersicurezza nazionale scrive nel suo "portale Cloud": https://www.acn.gov.it/portale/cloud ...riducendo il tutto a un PRODOTTO, mentre lo sanno anche "le giovani marmotte" della cibersicurezza che si tratta di un _processo, come la stessa agenzia scrive con altrettantoi fiumi di parole: https://www.acn.gov.it/portale/w/domini-della-cybersicurezza-cyber-risk-mana... Ecco due esempi di prodotti certificati come _sicuri_, già "a scaffale": 1. Secure Public Cloud Microsoft IaaS https://www.acn.gov.it/portale/w/ia-4030 2. Secure Public Cloud Microsoft PaaS https://www.acn.gov.it/portale/w/pa-4032 [...]
Per concludere, la domanda provocatoria è: Miano ha agito in modo criminale, sicuramente. E' stato tuttavia favorito da un terreno forse un po' troppo fertile dove agire?
La permeabilità dei sistemi "bucati" da Miano è già la linea difensiva adottata dal suo avvocato, oltre al fatto che è /quasi/ certo che i documenti e le conversazioni "trafugate" riguardavano solo le indagini a carico suo e dei suoi presunti soci in "Icarus Market", oltre a un sospetto di trafugazione di un documento relativo alle indagini su "Berlusconi Market" Di contro, è _certo_ che lui avrebbe potuto completamente bloccare l'intero sistema giudiziario (aveva preso il controllo del nodo centrale di Napoli) ma non l'ha fatto. Con questi accessi abusivi Miano ha senza dubbio commesso dei reati, ma la sua pericolosità sociale (e responsabilità penale?) è _inversamente_ proporzionale al livello di insicurezza dei sistemi nei quali è entrato illegalmente Considerate le sue (presunte) capacità di penetration testing, fossi l'Agenzia nazionale per la cibersicurezza ci farei un serio pensierino ad assumerlo come responsabile di un team che ha _carta bianca_ nell'effettuare penetration testing "a caso" nei confronti di infrastrutture di interesse pubblico. [...] Saluti, 380° [1] https://www.acn.gov.it/portale/w/domini-della-cybersicurezza-domini-della-cy... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.