Carmelo Miano, ecco cosa sarebbe successo...
Buongiorno, immagino che abbiate almeno sentito parlare di Miano, che è riuscito a penetrare in vari sistemi informatici tra i quali quelli di diverse procure nazionali (gestiti dal ministero della giustizia) e le caselle PEC di magistrati. Colui sul quale pare che Nicola Gratteri in persona abbia dichiarato «è riduttivo pensare a lui come un informatico: era un mago dell’informatica» [1]. Colui il quale raffinatissime inchieste giornalistiche hanno stabilito che si nascondesse «l'ombra della Russia» [2], che «vendeva informazioni ai russi e aveva tre milioni sul conto» [3]. Il mio alter ego, che /nel tempo libero/ si occupa di sicurezza informatica, è da giorni che si chiede quali raffinatissime tecniche "da hacker" possa aver utilizzato... e mentre attende con ansia gli atti del processo che si svolgerà tra /qualche/ anno, si imbatte in questa /roba da complottisti/: «L’ombra dei dark market dietro le spiate alla Giustizia» https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/ 09.10.24, di Raffaele Angius e Simone Olivelli Non vi fate trarre in inganno dal titolo, le cose veramente interessanti sono ben altre: --8<---------------cut here---------------start------------->8--- Ci sono voluti quattro anni e la collaborazione di tecnici, Forze dell’Ordine e svariate procure per arrivare all’arresto di Carmelo Miano, classe 2000, che almeno dalla metà del 2021 si è stabilito nei cavedi delle infrastrutture più critiche dell’Internet nazionale. [...] nel 2020, quando la procura di Brescia rinviene indicazioni che portano gli inquirenti a sospettare che l’hacker possa essere collegato a un mercato illecito di droga e armi denominato Icarus Market. Suo socio, sempre secondo le indagini condotte dalla procuratrice Erica Battaglia, è il vice-sovrintendente di polizia Ivano Impellizzeri, in servizio a Gela. Sono indagati anche il padre di Miano, Antonino, e la madre, Antonella Testoni. [...] secondo le ricostruzioni della procura, riesce a violare la rete satellitare fornita dalla società Telespazio [...] alla flotta aeronavale della guardia di finanza e collegata con la rete interna del corpo. [...] L’8 giugno del 2023 un funzionario del Coordinamento interdistrettuale per i sistemi informativi automatizzati (Cisia) della procura di Palermo nota per la prima volta qualcosa di strano nel suo computer. A ogni avvio viene automaticamente lanciato uno script – piccolo programma che dà delle istruzioni al computer – che raccoglie una moltitudine di informazioni: utenti connessi, cronologia del browser, password salvate su Chrome e Firefox, processi in esecuzione. A una più attenta analisi, emerge che il piccolo software non era un comune malware scaricato per sbaglio da un funzionario disattento, bensì uno strumento di attacco distribuito dai sistemi centralizzati del ministero, con sede a Napoli [...] È proprio dalla segnalazione del Cisia che, stando alle carte giudiziarie, nasce l’indagine che ha portato al suo arresto. Le informazioni raccolte dal programma informatico venivano spedite direttamente a una cartella sotto il controllo dell’attaccante, nascosta dentro gli stessi archivi centrali della Direzione generale per i sistemi informatizzati (Dgsia) del ministero della Giustizia, a Napoli. Non solo l’hacker ha avuto accesso a computer delle procure di Palermo, Gela, Roma e altre ancora, ma soprattutto ha stabilito la sua base nel cuore dell’infrastruttura che risiede a Napoli e da cui vengono smistati posta elettronica, documenti e fascicoli della massima segretezza. Ma questo il ministero lo sa da ben prima di giugno del 2023. [...] È il 26 gennaio del 2022, circa un anno e mezzo prima della scoperta a Palermo, quando il personale del Cisia della sede di Napoli nota per la prima volta il comportamento anomalo di un server del ministero. Si tratta di una virtual machine [...] in uso alla Cassazione che si scopre essere collegata alla macchina che gestisce accessi e credenziali della rete ministeriale. Non avrebbe dovuto. Quest’ultimo è un server in capo al colosso informatico Microsoft, che fornisce il grosso dei servizi digitali dai quali dipende il ministero. Tra questi ci sono Teams per le videoconferenze e comunicazioni interne, Azure e Onedrive per il cloud e Windows Server Active Directory per la gestione di utenze, credenziali e sicurezza. Secondo documenti inediti che IrpiMedia ha potuto consultare, alle 10:53 del mattino, non appena viene notato il comportamento sospetto, i tecnici del ministero inviano una mail al personale di Microsoft e ai funzionari che fanno da ponte con l’azienda per chiedere un accertamento. La dipendenza del ministero dai sistemi della multinazionale è tale che proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite procedura negoziata del pacchetto di supporto premium di Microsoft (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), giudicandolo la migliore soluzione per garantire «un elevato livello di sicurezza» nonché «una garanzia di problem solving su tutti gli elementi Microsoft che costituiscono l’architettura del Sistema Giustizia». La risposta non si fa attendere: nel primo pomeriggio il funzionario ministeriale rassicura i colleghi e spiega che «dalle prime analisi non ci sono elementi circa il traffico segnalato». Dalla comunicazione si evince che i tecnici di Microsoft – sempre in copia negli scambi – si sono occupati del controllo e che addirittura il computer in uso alla Cassazione risulta «praticamente inutilizzato o addirittura spento». Solamente due settimane dopo un nuovo sollecito permette di acquisire l’intero contenuto del computer, che non solo non era spento ma era anche evidentemente compromesso, come rilevano i funzionari del ministero. Dall’analisi emerge che l’hacker aveva ottenuto il controllo di una delle utenze più importanti dell’infrastruttura: dcsysop, un account con permessi completi – detto anche “super-utente” – che gli avrebbe assicurato la possibilità di muoversi da un computer all’altro ma anche di creare altri utenti con privilegi speciali, «in modo da garantirsi persistenza completa nell’infrastruttura», spiega a IrpiMedia una fonte informata sui fatti. È probabile che sia proprio questa la ragione per la quale il traffico anomalo non viene immediatamente rilevato: l’attaccante si era camuffato da utente legittimo e perciò poteva passare inosservato. Tuttavia la tensione è palpabile nelle sale computer del palazzo di Giustizia di Napoli. «Abbiamo immediatamente avuto la sensazione che la situazione fosse seria. Quando rilevi una compromissione a livello di sistema globale devi dare per scontato che l’attaccante può accedere a qualunque cosa», spiega sotto garanzia di anonimato un funzionario. Era precisamente questo il caso. Secondo fonti contattate da IrpiMedia, dal ministero non arriva però nemmeno la consueta – e obbligatoria – segnalazione al Garante per la protezione dei dati personali, che in caso di data breach dovrebbe essere inviata entro 72 ore. Il ministero non ha risposto alle richieste di IrpiMedia in merito alla gestione dell’attacco informatico e delle attività intraprese per mitigarne l’impatto. Sia l’escalation tramite l’account dcsysop sia la creazione di un nuovo utente malevolo avvengono attraverso la rete Tor, sostanzialmente irrintracciabile e per questo comunemente inibita dai sistemi della pubblica amministrazione. «È certo che il perimetro della rete fosse configurato in modo da inibire tali accessi, pertanto l’unica spiegazione che posso darmi è che sia stato l’hacker a creare un tunnel dall’interno verso l’esterno, con la capacità di lasciar entrare connessioni che sfruttano le reti anonimizzate», ipotizza il funzionario. Contattata da IrpiMedia, Microsoft non ha risposto a una richiesta di commento. Fonti a conoscenza dell’indagine riferiscono in ogni caso di come si sia immediatamente intervenuti per ricostruire le prime tracce dell’hacker. Queste portano a un computer della casa circondariale di Lecce, probabilmente utilizzato dagli avvocati per partecipare in remoto alle udienze di convalida dei fermi; un altro bersaglio sono i computer della procura di Brescia, dove l’intenso traffico suggerisce un’esfiltrazione di dati. Finita l’analisi, nei primi mesi del 2022 si è provveduto a resettare le password e bonificare gli apparati informatici, nel convincimento che l’hacker fosse stato estromesso dai sistemi della giustizia. Da quel momento infatti non si verificano più attività informatiche sospette che possano indicare che l’hacker fosse ancora all’interno della rete. È questo l’inizio della prima indagine interna che svela al ministero l’esistenza di un fantasma nelle sue infrastrutture. Uno evidentemente diverso dai soliti a cui ci hanno abituato le pubbliche amministrazioni italiane, troppo spesso vittime di attacchi brutali volti al pagamento di un riscatto per restituire l’accesso ai sistemi e ai dati dei cittadini. Come ha detto il procuratore capo di Napoli, Nicola Gratteri, durante la conferenza stampa che ha dato notizia dell’arresto, Miano avrebbe potuto «bloccare tutto il sistema Giustizia». Ma non l’ha fatto. Al contrario, dopo la prima scoperta l’attaccante sembra essere stato eradicato. Ma in verità è rimasto silente e in attesa, come detto, fino al 2023, quando la segnalazione del funzionario di Palermo riaccende il timore che l’infezione non fosse stata debellata, ma soltanto temporaneamente sopita. [...] I primi passi della scalata di Miano verso il vertice informatico del ministero iniziano diversi anni fa. L’intenzione di avere accesso ai sistemi della guardia di finanza nasce almeno nel 2020 quando, dopo una perquisizione, l’hacker cerca una via per accedere alla rete interna delle Fiamme gialle. In principio sono «mail di phishing e ripetuti tentativi di compromissione e danneggiamento», si legge nell’ordinanza di applicazione delle misure cautelari. E l’ipotesi è che siano questi tentativi a portare l’hacker a compromettere i sistemi satellitari di due imbarcazioni della guardia di finanza, forniti dalla società italiana Telespazio, e dai quali era possibile accedere alla rete interna del corpo. Nel 2021, quando ormai il procedimento a carico di Impellizzeri e Miano per il riciclaggio dei proventi ottenuti con il market illegale nel dark web era già stato trasferito per competenza alla procura di Gela, il bersaglio su cui l’informatico riversa la sua attenzione diventa un altro: le infrastrutture di Tim e i suoi utenti. Secondo le stime della procura, tra il 4 e il 5 luglio 2021 Miano riesce a prelevare dai sistemi di Tim i dati di 23 milioni di utenti consumer, 2,5 milioni di utenti business e 11 milioni di utenti del sistema antifrode della società. Le informazioni comprendono nome e cognome, email, codici fiscali, indirizzi di fatturazione, password (cifrate) e, per l’ultima categoria, addirittura le morosità. Per quanto possa sembrare un bersaglio fuori dai suoi interessi specifici, un simile archivio può rivelarsi un preziosissimo strumento per condurre nuovi attacchi. Secondo quanto scoperto dalle indagini, a partire dai dati contenuti nei database, le prime ricerche riguardano i funzionari di polizia giudiziaria che avevano condotto le indagini di Brescia e, ovviamente, la pm Erica Battaglia. Le informazioni acquisite comprendono i dati personali e l’indirizzo di residenza delle persone cercate. Pochi giorni dopo, l’11 luglio, riesce invece a ottenere le credenziali di due tecnici di Noovle, società del gruppo Tim specializzata nel settore del cloud per le imprese. Una delle utenze compromesse è quella che si occupa specificamente di gestire la rete dedicata al ministero della Giustizia. Grazie a quest’ultima, Miano ricerca e acquisisce 19 caselle di posta elettronica appartenenti a personale della magistratura delle procure di Brescia e di Gela oltre che del personale tecnico che gestisce da Napoli l’infrastruttura della giustizia nazionale. Tra gli account compromessi compare anche quello della procuratrice di Brescia Erica Battaglia, titolare sia dell’indagine che riguarda Miano e Impellizzeri sia di quella sul Berlusconi Market. [...] Almeno da giugno del 2021, quando per la prima volta prende il controllo di alcuni account del personale di Tim, Miano inizia a scandagliare le caselle di posta elettronica certificata dedicate al deposito e alla ricezione degli atti della procura di Brescia. Ne scarica undici, tra il 16 agosto e il 23 settembre. Lo stesso giorno, in un forum su Internet frequentato principalmente da hacker e da venditori di credenziali, viene pubblicato il fascicolo d’indagine della procura di Brescia sul Berlusconi Market. Non si è mai scoperto chi l’abbia pubblicato. --8<---------------cut here---------------end--------------->8--- Un'altra informazione interessante in merito allo stato della sicurezza dei sistemi informatici degli organi dello stato la fornisce Il Post: --8<---------------cut here---------------start------------->8--- Un altro tentativo di infiltrazione riuscito riguarda la rete satellitare di Telespazio, in cui entrò attraverso il computer di bordo di una nave di pattuglia della Marina militare ormeggiata a Brindisi. Dagli accertamenti sembra che il computer fosse accessibile senza password. L’obiettivo di Miano era la rete interna della Guardia di Finanza, che per questo servizio si serve proprio della società Telespazio. --8<---------------cut here---------------end--------------->8--- (https://www.ilpost.it/2024/10/17/carmelo-miano-hacker-procure/) Ciao ciao, cybersecurity! 380° [1] https://web.archive.org/web/20241005141759/https://www.fanpage.it/innovazion... [2] https://web.archive.org/web/20241004230734/https://roma.repubblica.it/cronac... [3] https://web.archive.org/web/20241005141701/https://roma.cityrumors.it/cronac... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Buongiorno, sulla vicenda di Miano si sono spesi fiumi di inchiostro (virtuale) talvolta anche a sproposito. L'articolo di Wired riportato da Giovanni è forse il più completo che ho letto, per farmi una idea sulla vicenda. Penso che Miano sia certamente dotato di interessanti capacità tecniche usate anche a scopi non del tutto leciti (mi pare di aver letto che anche dietro il Berlusconi Market ci fosse stato lui), che gli hanno permesso di accumulare un discreto patrimonio. Tuttavia, al di là delle attività pseudo-criminose, credo che l'aspetto interessante sia la situazione descritta della controparte, la vittima. Senza fare victim blaming, sarebbe da chiedersi se almeno le Misure Minime di sicurezza ICT per le PA siano state rispettate. Tra queste, c'è l'inventario degli assets attivi: elemento essenziale per poter mantenere il controllo di un ecosistema, soprattutto se complesso e critico come quello della Giustizia. Mi chiedo se davvero una macchina virtuale può agire indisturbata in questo ecosistema, senza essere notata. Oltre ai vari login e script all'avvio, che un XDR collegato ad un SIEM avrebbe dovuto segnalare come anomali. Non mi tranquillizza neppure l'uso di WhatsApp da parte dei magistrati, che immagino sia usato anche per scambio di informazioni sui procedimenti penali: uno strumento di IM dove basta un numero di telefono per catturare le conversazioni dove l'utenza partecipa. Mi chiedo se almeno gli smartphone dei magistrati siano in possesso delle necessarie misure di protezione (PIN, cifratura...) o se, come purtroppo mi capita ancora di vedere, senza alcuna misura di protezione in caso di furto o smarrimento. In certi momenti dell'intervista a Gratteri, persona che peraltro stimo, ho pensato all'ennesima dimostrazione di estrema ignoranza del contesto informatico contemporaneo e delle sue criticità, tendenza purtroppo abbastanza diffusa tra la popolazione. Mi chiedo se possiamo permettercelo, soprattutto in ambiti come la Giustizia (o la Sanità, tanto per citarne un altro). Per concludere, la domanda provocatoria è: Miano ha agito in modo criminale, sicuramente. E' stato tuttavia favorito da un terreno forse un po' troppo fertile dove agire? Buona giornata. MP Il giorno mer 23 ott 2024 alle ore 16:33 380° via nexa < nexa@server-nexa.polito.it> ha scritto:
Buongiorno,
immagino che abbiate almeno sentito parlare di Miano, che è riuscito a penetrare in vari sistemi informatici tra i quali quelli di diverse procure nazionali (gestiti dal ministero della giustizia) e le caselle PEC di magistrati.
Colui sul quale pare che Nicola Gratteri in persona abbia dichiarato «è riduttivo pensare a lui come un informatico: era un mago dell’informatica» [1].
Colui il quale raffinatissime inchieste giornalistiche hanno stabilito che si nascondesse «l'ombra della Russia» [2], che «vendeva informazioni ai russi e aveva tre milioni sul conto» [3].
Il mio alter ego, che /nel tempo libero/ si occupa di sicurezza informatica, è da giorni che si chiede quali raffinatissime tecniche "da hacker" possa aver utilizzato... e mentre attende con ansia gli atti del processo che si svolgerà tra /qualche/ anno, si imbatte in questa /roba da complottisti/:
«L’ombra dei dark market dietro le spiate alla Giustizia» https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/ 09.10.24, di Raffaele Angius e Simone Olivelli
Non vi fate trarre in inganno dal titolo, le cose veramente interessanti sono ben altre:
--8<---------------cut here---------------start------------->8---
Ci sono voluti quattro anni e la collaborazione di tecnici, Forze dell’Ordine e svariate procure per arrivare all’arresto di Carmelo Miano, classe 2000, che almeno dalla metà del 2021 si è stabilito nei cavedi delle infrastrutture più critiche dell’Internet nazionale.
[...] nel 2020, quando la procura di Brescia rinviene indicazioni che portano gli inquirenti a sospettare che l’hacker possa essere collegato a un mercato illecito di droga e armi denominato Icarus Market.
Suo socio, sempre secondo le indagini condotte dalla procuratrice Erica Battaglia, è il vice-sovrintendente di polizia Ivano Impellizzeri, in servizio a Gela. Sono indagati anche il padre di Miano, Antonino, e la madre, Antonella Testoni.
[...] secondo le ricostruzioni della procura, riesce a violare la rete satellitare fornita dalla società Telespazio [...] alla flotta aeronavale della guardia di finanza e collegata con la rete interna del corpo.
[...] L’8 giugno del 2023 un funzionario del Coordinamento interdistrettuale per i sistemi informativi automatizzati (Cisia) della procura di Palermo nota per la prima volta qualcosa di strano nel suo computer.
A ogni avvio viene automaticamente lanciato uno script – piccolo programma che dà delle istruzioni al computer – che raccoglie una moltitudine di informazioni: utenti connessi, cronologia del browser, password salvate su Chrome e Firefox, processi in esecuzione.
A una più attenta analisi, emerge che il piccolo software non era un comune malware scaricato per sbaglio da un funzionario disattento, bensì uno strumento di attacco distribuito dai sistemi centralizzati del ministero, con sede a Napoli [...]
È proprio dalla segnalazione del Cisia che, stando alle carte giudiziarie, nasce l’indagine che ha portato al suo arresto. Le informazioni raccolte dal programma informatico venivano spedite direttamente a una cartella sotto il controllo dell’attaccante, nascosta dentro gli stessi archivi centrali della Direzione generale per i sistemi informatizzati (Dgsia) del ministero della Giustizia, a Napoli.
Non solo l’hacker ha avuto accesso a computer delle procure di Palermo, Gela, Roma e altre ancora, ma soprattutto ha stabilito la sua base nel cuore dell’infrastruttura che risiede a Napoli e da cui vengono smistati posta elettronica, documenti e fascicoli della massima segretezza.
Ma questo il ministero lo sa da ben prima di giugno del 2023.
[...] È il 26 gennaio del 2022, circa un anno e mezzo prima della scoperta a Palermo, quando il personale del Cisia della sede di Napoli nota per la prima volta il comportamento anomalo di un server del ministero.
Si tratta di una virtual machine [...] in uso alla Cassazione che si scopre essere collegata alla macchina che gestisce accessi e credenziali della rete ministeriale. Non avrebbe dovuto.
Quest’ultimo è un server in capo al colosso informatico Microsoft, che fornisce il grosso dei servizi digitali dai quali dipende il ministero. Tra questi ci sono Teams per le videoconferenze e comunicazioni interne, Azure e Onedrive per il cloud e Windows Server Active Directory per la gestione di utenze, credenziali e sicurezza.
Secondo documenti inediti che IrpiMedia ha potuto consultare, alle 10:53 del mattino, non appena viene notato il comportamento sospetto, i tecnici del ministero inviano una mail al personale di Microsoft e ai funzionari che fanno da ponte con l’azienda per chiedere un accertamento.
La dipendenza del ministero dai sistemi della multinazionale è tale che proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite procedura negoziata del pacchetto di supporto premium di Microsoft (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), giudicandolo la migliore soluzione per garantire «un elevato livello di sicurezza» nonché «una garanzia di problem solving su tutti gli elementi Microsoft che costituiscono l’architettura del Sistema Giustizia».
La risposta non si fa attendere: nel primo pomeriggio il funzionario ministeriale rassicura i colleghi e spiega che «dalle prime analisi non ci sono elementi circa il traffico segnalato».
Dalla comunicazione si evince che i tecnici di Microsoft – sempre in copia negli scambi – si sono occupati del controllo e che addirittura il computer in uso alla Cassazione risulta «praticamente inutilizzato o addirittura spento». Solamente due settimane dopo un nuovo sollecito permette di acquisire l’intero contenuto del computer, che non solo non era spento ma era anche evidentemente compromesso, come rilevano i funzionari del ministero.
Dall’analisi emerge che l’hacker aveva ottenuto il controllo di una delle utenze più importanti dell’infrastruttura: dcsysop, un account con permessi completi – detto anche “super-utente” – che gli avrebbe assicurato la possibilità di muoversi da un computer all’altro ma anche di creare altri utenti con privilegi speciali, «in modo da garantirsi persistenza completa nell’infrastruttura», spiega a IrpiMedia una fonte informata sui fatti.
È probabile che sia proprio questa la ragione per la quale il traffico anomalo non viene immediatamente rilevato: l’attaccante si era camuffato da utente legittimo e perciò poteva passare inosservato.
Tuttavia la tensione è palpabile nelle sale computer del palazzo di Giustizia di Napoli. «Abbiamo immediatamente avuto la sensazione che la situazione fosse seria. Quando rilevi una compromissione a livello di sistema globale devi dare per scontato che l’attaccante può accedere a qualunque cosa», spiega sotto garanzia di anonimato un funzionario. Era precisamente questo il caso.
Secondo fonti contattate da IrpiMedia, dal ministero non arriva però nemmeno la consueta – e obbligatoria – segnalazione al Garante per la protezione dei dati personali, che in caso di data breach dovrebbe essere inviata entro 72 ore.
Il ministero non ha risposto alle richieste di IrpiMedia in merito alla gestione dell’attacco informatico e delle attività intraprese per mitigarne l’impatto.
Sia l’escalation tramite l’account dcsysop sia la creazione di un nuovo utente malevolo avvengono attraverso la rete Tor, sostanzialmente irrintracciabile e per questo comunemente inibita dai sistemi della pubblica amministrazione.
«È certo che il perimetro della rete fosse configurato in modo da inibire tali accessi, pertanto l’unica spiegazione che posso darmi è che sia stato l’hacker a creare un tunnel dall’interno verso l’esterno, con la capacità di lasciar entrare connessioni che sfruttano le reti anonimizzate», ipotizza il funzionario.
Contattata da IrpiMedia, Microsoft non ha risposto a una richiesta di commento.
Fonti a conoscenza dell’indagine riferiscono in ogni caso di come si sia immediatamente intervenuti per ricostruire le prime tracce dell’hacker. Queste portano a un computer della casa circondariale di Lecce, probabilmente utilizzato dagli avvocati per partecipare in remoto alle udienze di convalida dei fermi; un altro bersaglio sono i computer della procura di Brescia, dove l’intenso traffico suggerisce un’esfiltrazione di dati.
Finita l’analisi, nei primi mesi del 2022 si è provveduto a resettare le password e bonificare gli apparati informatici, nel convincimento che l’hacker fosse stato estromesso dai sistemi della giustizia. Da quel momento infatti non si verificano più attività informatiche sospette che possano indicare che l’hacker fosse ancora all’interno della rete.
È questo l’inizio della prima indagine interna che svela al ministero l’esistenza di un fantasma nelle sue infrastrutture. Uno evidentemente diverso dai soliti a cui ci hanno abituato le pubbliche amministrazioni italiane, troppo spesso vittime di attacchi brutali volti al pagamento di un riscatto per restituire l’accesso ai sistemi e ai dati dei cittadini.
Come ha detto il procuratore capo di Napoli, Nicola Gratteri, durante la conferenza stampa che ha dato notizia dell’arresto, Miano avrebbe potuto «bloccare tutto il sistema Giustizia». Ma non l’ha fatto.
Al contrario, dopo la prima scoperta l’attaccante sembra essere stato eradicato. Ma in verità è rimasto silente e in attesa, come detto, fino al 2023, quando la segnalazione del funzionario di Palermo riaccende il timore che l’infezione non fosse stata debellata, ma soltanto temporaneamente sopita.
[...] I primi passi della scalata di Miano verso il vertice informatico del ministero iniziano diversi anni fa.
L’intenzione di avere accesso ai sistemi della guardia di finanza nasce almeno nel 2020 quando, dopo una perquisizione, l’hacker cerca una via per accedere alla rete interna delle Fiamme gialle.
In principio sono «mail di phishing e ripetuti tentativi di compromissione e danneggiamento», si legge nell’ordinanza di applicazione delle misure cautelari. E l’ipotesi è che siano questi tentativi a portare l’hacker a compromettere i sistemi satellitari di due imbarcazioni della guardia di finanza, forniti dalla società italiana Telespazio, e dai quali era possibile accedere alla rete interna del corpo.
Nel 2021, quando ormai il procedimento a carico di Impellizzeri e Miano per il riciclaggio dei proventi ottenuti con il market illegale nel dark web era già stato trasferito per competenza alla procura di Gela, il bersaglio su cui l’informatico riversa la sua attenzione diventa un altro: le infrastrutture di Tim e i suoi utenti.
Secondo le stime della procura, tra il 4 e il 5 luglio 2021 Miano riesce a prelevare dai sistemi di Tim i dati di 23 milioni di utenti consumer, 2,5 milioni di utenti business e 11 milioni di utenti del sistema antifrode della società.
Le informazioni comprendono nome e cognome, email, codici fiscali, indirizzi di fatturazione, password (cifrate) e, per l’ultima categoria, addirittura le morosità.
Per quanto possa sembrare un bersaglio fuori dai suoi interessi specifici, un simile archivio può rivelarsi un preziosissimo strumento per condurre nuovi attacchi. Secondo quanto scoperto dalle indagini, a partire dai dati contenuti nei database, le prime ricerche riguardano i funzionari di polizia giudiziaria che avevano condotto le indagini di Brescia e, ovviamente, la pm Erica Battaglia.
Le informazioni acquisite comprendono i dati personali e l’indirizzo di residenza delle persone cercate.
Pochi giorni dopo, l’11 luglio, riesce invece a ottenere le credenziali di due tecnici di Noovle, società del gruppo Tim specializzata nel settore del cloud per le imprese. Una delle utenze compromesse è quella che si occupa specificamente di gestire la rete dedicata al ministero della Giustizia.
Grazie a quest’ultima, Miano ricerca e acquisisce 19 caselle di posta elettronica appartenenti a personale della magistratura delle procure di Brescia e di Gela oltre che del personale tecnico che gestisce da Napoli l’infrastruttura della giustizia nazionale.
Tra gli account compromessi compare anche quello della procuratrice di Brescia Erica Battaglia, titolare sia dell’indagine che riguarda Miano e Impellizzeri sia di quella sul Berlusconi Market.
[...] Almeno da giugno del 2021, quando per la prima volta prende il controllo di alcuni account del personale di Tim, Miano inizia a scandagliare le caselle di posta elettronica certificata dedicate al deposito e alla ricezione degli atti della procura di Brescia.
Ne scarica undici, tra il 16 agosto e il 23 settembre. Lo stesso giorno, in un forum su Internet frequentato principalmente da hacker e da venditori di credenziali, viene pubblicato il fascicolo d’indagine della procura di Brescia sul Berlusconi Market. Non si è mai scoperto chi l’abbia pubblicato.
--8<---------------cut here---------------end--------------->8---
Un'altra informazione interessante in merito allo stato della sicurezza dei sistemi informatici degli organi dello stato la fornisce Il Post:
--8<---------------cut here---------------start------------->8---
Un altro tentativo di infiltrazione riuscito riguarda la rete satellitare di Telespazio, in cui entrò attraverso il computer di bordo di una nave di pattuglia della Marina militare ormeggiata a Brindisi. Dagli accertamenti sembra che il computer fosse accessibile senza password. L’obiettivo di Miano era la rete interna della Guardia di Finanza, che per questo servizio si serve proprio della società Telespazio.
--8<---------------cut here---------------end--------------->8--- (https://www.ilpost.it/2024/10/17/carmelo-miano-hacker-procure/)
Ciao ciao, cybersecurity! 380°
[1] https://web.archive.org/web/20241005141759/https://www.fanpage.it/innovazion...
[2] https://web.archive.org/web/20241004230734/https://roma.repubblica.it/cronac...
[3] https://web.archive.org/web/20241005141701/https://roma.cityrumors.it/cronac...
-- 380° (Giovanni Biscuolo public alter ego)
«Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché»
Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
-- Michele Pinassi Ufficio Esercizio e tecnologie - Università degli Studi di Siena tel: 0577.(23)5000 - helpdesk@unisi.it PGP/GPG key fingerprint 6EC4 9905 84F5 1537 9AB6 33E7 14FC 37E5 3C24 B98E
Buongiorno Michele, Michele Pinassi <michele.pinassi@unisi.it> writes:
sulla vicenda di Miano si sono spesi fiumi di inchiostro (virtuale) talvolta anche a sproposito.
oh certo, anche perché per poter fare valutazioni serie occorre avere _adeguate_ informazioni e troppo spesso quando ci sono incidenti di sicurezza di interesse _pubblico_ queste informazioni sono mantenute riservate... forse per vergogna nel caso specifico, capisco anche che ci siano esigenze di riservatezza dovute ad indagini ancora in corso, ma /dovrebbero/ essere controbilanciate dalle esigenze di adeguata informazione ai cittadini, _anche_ in tema di cibersicurezza
L'articolo di Wired riportato da Giovanni è forse il più completo che ho letto,
per la precisione quello che ho segnalato è di Irpimedia; se c'è n'è uno di Wired ancora più completo lo indicheresti per favore?
per farmi una idea sulla vicenda. Penso che Miano sia certamente dotato di interessanti capacità tecniche usate anche a scopi non del tutto leciti
sì, specificamente è un ottimo "penetration tester", anche se per giudicare il suo livello di /magia/ mancano ancora alcuni dettagli tecnici rilevanti
(mi pare di aver letto che anche dietro il Berlusconi Market ci fosse stato lui),
le indagini su Carmelo Miano iniziano nel 2020 a Brescia per sospetti che lui, assieme ai genitori e a un vice-sovrintendente di polizia, sia collegato a "Icarus Market"; non è chiaro il suo livello di coinvolgimento in "Berlusconi Market" ...ma questi sono dettagli /personali/ (e ovviamente penali) irrilevanti rispetto al nocciolo della questione, ovvero il fatto che Miano avrebbe potuto «bloccare tutto il sistema Giustizia» (ma non lo ha fatto) [...]
Senza fare victim blaming, sarebbe da chiedersi se almeno le Misure Minime di sicurezza ICT per le PA siano state rispettate.
e chi lo può dire? Visto che /al massimo/ la mancata applicazione di tali misure è un "reato" (reato?) amministrativo; chi si prende la briga di indagare _questo_ aspetto, informarci sui risultati e magari prendere provvedimenti?
Tra queste, c'è l'inventario degli assets attivi:
[...]
Oltre ai vari login e script all'avvio, che un XDR collegato ad un SIEM avrebbe dovuto segnalare come anomali.
fossero solo quelli i problemi: se l'articolo non "inventa" le informaizoni tecniche, ci sono una miriade di _palesi_ buchi di sicurezza mi piacerebbe poter leggere i documenti relativi alla valutazione del livello di cibersicurezza [1] dell'infrastruttura ministeriale della giustizia... ma /chi sono/ io per pretendere una tale assurdità!?! Sì perché il problema /infrastrutturale/ si intuisce da questo passo: --8<---------------cut here---------------start------------->8--- La dipendenza del ministero dai sistemi della multinazionale è tale che proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite procedura negoziata del pacchetto di supporto premium di Microsoft (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), giudicandolo la migliore soluzione per garantire «un elevato livello di sicurezza» nonché «una garanzia di problem solving su tutti gli elementi Microsoft che costituiscono l’architettura del Sistema Giustizia». --8<---------------cut here---------------end--------------->8--- (https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/) Secondo me il nocciolo sta praticamente tutto qui: /anche/ la cibersicurezza è appaltata a terzi, che _ovviamente_ forniscono «un elevato livello di sicurezza» nonché «una garanzia di problem solving» «Buongiorno, per favore vorrei 3 etti di cibersicurezza» «'So veniti 3 etti e mezzo, che famo? Lascio?» Se vi paio eccessivamente sarcastico vi invito a leggere le quintalate di belle parole che la Agenzia per la cybersicurezza nazionale scrive nel suo "portale Cloud": https://www.acn.gov.it/portale/cloud ...riducendo il tutto a un PRODOTTO, mentre lo sanno anche "le giovani marmotte" della cibersicurezza che si tratta di un _processo, come la stessa agenzia scrive con altrettantoi fiumi di parole: https://www.acn.gov.it/portale/w/domini-della-cybersicurezza-cyber-risk-mana... Ecco due esempi di prodotti certificati come _sicuri_, già "a scaffale": 1. Secure Public Cloud Microsoft IaaS https://www.acn.gov.it/portale/w/ia-4030 2. Secure Public Cloud Microsoft PaaS https://www.acn.gov.it/portale/w/pa-4032 [...]
Per concludere, la domanda provocatoria è: Miano ha agito in modo criminale, sicuramente. E' stato tuttavia favorito da un terreno forse un po' troppo fertile dove agire?
La permeabilità dei sistemi "bucati" da Miano è già la linea difensiva adottata dal suo avvocato, oltre al fatto che è /quasi/ certo che i documenti e le conversazioni "trafugate" riguardavano solo le indagini a carico suo e dei suoi presunti soci in "Icarus Market", oltre a un sospetto di trafugazione di un documento relativo alle indagini su "Berlusconi Market" Di contro, è _certo_ che lui avrebbe potuto completamente bloccare l'intero sistema giudiziario (aveva preso il controllo del nodo centrale di Napoli) ma non l'ha fatto. Con questi accessi abusivi Miano ha senza dubbio commesso dei reati, ma la sua pericolosità sociale (e responsabilità penale?) è _inversamente_ proporzionale al livello di insicurezza dei sistemi nei quali è entrato illegalmente Considerate le sue (presunte) capacità di penetration testing, fossi l'Agenzia nazionale per la cibersicurezza ci farei un serio pensierino ad assumerlo come responsabile di un team che ha _carta bianca_ nell'effettuare penetration testing "a caso" nei confronti di infrastrutture di interesse pubblico. [...] Saluti, 380° [1] https://www.acn.gov.it/portale/w/domini-della-cybersicurezza-domini-della-cy... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
participants (2)
-
380° -
Michele Pinassi