I dati dell’Ospedale “San Raffaele” di Milano rubati dagli hacker?
Buongiorno, a proposito di colabrodo di sicurezza che meriterebbe un capitolo tutto suo nella politica nazionale, quanto in oggetto lo chiede pubblicamente Umberto Rapetto, che confonde l'emoticon :P con :D ma mi pare sappia quello che dice: https://www.infosec.news/2020/05/21/news/sicurezza-digitale/i-dati-dellosped... --8<---------------cut here---------------start------------->8--- Il tweet [1] è accompagnato da una immagine eloquente, uno “screenshot” che testimonierebbe la fondatezza della provocazione sui social da parte del gruppo di pirati informatici italiani “LulzSec”. “Tanta roba” direbbero in Toscana. Il “cinguettio” non si presta ad interpretazioni e suona fin troppo chiaro. “Beh che dire.. @SanRaffaeleMI, avete comunicato al Garante il #databreach di due mesi fa? Visto che avete già chiuso tutte le vulnerabilità.. anche se troppo tardi”. Il messaggio è esplicito e, se risponde al vero, il nosocomio sarebbe stato oggetto di una grave violazione informatica (“data breach”, ovvero una breccia nella struttura perimetrale di protezione dei dati) che avrebbe avuto luogo nel mese di marzo. Gli hacker chiedono con tono sarcastico se i manager del San Raffaele hanno provveduto a fare la prevista comunicazione al Garante per la Protezione dei dati personali, che – secondo il Regolamento Europeo 679/2016 (o GDPR che dir si voglia)– deve essere effettuata entro le 72 ore dalla constatazione dell’incidente per non incorrere in pesanti sanzioni. Il testo si chiude con la linguaccia degli emoticons ante litteram (le faccine realizzate con i semplici caratteri ASCII) che si “scrive” con i due punti e la lettera D maiuscola… [...] Forse è venuto il momento di congratularsi reciprocamente di meno e di rimboccarsi le maniche. Come a poker, qualcuno ha detto “vedo” e tocca mostrare le carte… --8<---------------cut here---------------end--------------->8--- ... tranne che questa, purtroppo, NON É una partita a carte, nemmeno di quei giochi in cui si puntano soldi: i soldi sono (dovrebbero essere) l'ultimo dei problemi. Rapetto aggiunge particolari sul suo blog sul Fatto Quotidiano: https://www.ilfattoquotidiano.it/2020/05/21/san-raffaele-abbiamo-hackerato-i... --8<---------------cut here---------------start------------->8--- [...] Alle domande si affianca anche una preoccupazione tutt’altro che marginale. Ma i file in questione sono stati soltanto copiati oppure è stata apportata qualche modifica così da inquinare irrimediabilmente gli archivi presi di mira? Nella desolante indifferenza globale, persino gli hacker si lamentano. Possibile che non freghi nulla a nessuno? Dove è finito il brioso parterre delle tante convention in materia di cybersecurity? Sono finite le tartine al salmone o i tramezzini prosciutto e formaggio? Nel frattempo i birbaccioni di LulzSec cominciano a pubblicare piccoli assaggi come qualche elenco di file in loro possesso. [...] --8<---------------cut here---------------end--------------->8--- Nell'immagine https://twitter.com/LulzSec_ITA/status/1263370997937451009 (di cui ho screenshot, per mia referenza) ci sono un paio di screenshot in cui la password di quasi tutti gli utenti è praticamente identica al nome utente... non può che essere uno scherzo di cattivo gusto, nel 2020. Saluti, Giovanni. [1] https://twitter.com/LulzSec_ITA/status/1263116071197958144 -- Giovanni Biscuolo
Possibile che non freghi niente a nessuno?
Sono ciechi, come possono preoccuparsi di ciò che non riescono a concepire? Burioni poco tempo fa se la prendeva con i paranoici della privacy. Chissà se avrà cambiato le password, ora. Naturalmente si tratta di vittime, ma non degli hacker: dell'incompetenza di alcuni e dell'ignoranza diffusa. Ma l'ironia sulle conferenze di cyber security è ben meritata. C'è un enorme ipocrisia in Italia. I databreach che emergono sono l'1%. Ma cosa volete... "con la sicurezza non si mangia" (semicit) Giacomo
Ritengo che non sia tanto un problema di interesse quanto di approccio. La cybersecurity continua ad essere affrontata soprattutto mediante la tecnologia quando, non da ieri, è chiaro che l'elemento umano è al tempo stesso l'anello più debole e la potenziale difesa più forte. Serve un approccio basato sulla "cultura della cibersicurezza", come descritto in questo recente volume di una persona che lavora nel settore da molti anni https://www.springer.com/gp/book/9783030439989 Lo snodo, secondo me, è che si fa più business a vendere app che a formare persone. La tecnologia è chiaro che serve ma, sul lungo periodo, è l'investimento sulle persone che fa la differenza. Ciao, Enrico Il 21/05/2020 19:49, Giacomo Tesio ha scritto:
Possibile che non freghi niente a nessuno?
Sono ciechi, come possono preoccuparsi di ciò che non riescono a concepire?
Burioni poco tempo fa se la prendeva con i paranoici della privacy. Chissà se avrà cambiato le password, ora.
Naturalmente si tratta di vittime, ma non degli hacker: dell'incompetenza di alcuni e dell'ignoranza diffusa.
Ma l'ironia sulle conferenze di cyber security è ben meritata.
C'è un enorme ipocrisia in Italia. I databreach che emergono sono l'1%.
Ma cosa volete... "con la sicurezza non si mangia" (semicit)
Giacomo
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Buongiorno Enrico e nexiani Enrico Nardelli <nardelli@mat.uniroma2.it> writes:
Ritengo che non sia tanto un problema di interesse quanto di approccio.
[...]
Lo snodo, secondo me, è che si fa più business a vendere app che a formare persone. La tecnologia è chiaro che serve ma, sul lungo periodo, è l'investimento sulle persone che fa la differenza.
Sottoscrivo verbatim ma aggiungo che oltre alla formazione (un po' carente sulla sicurezza, probabilmente) alle persone servono moltissimo anche le informazioni, altrimenti non si capisce come si possono implementare azioni correttive, soprattutto *sistemiche*, per migliorare la sicurezza informatica di tutti. Faccio un esempio: sul sito del "Computer Security Incident Response Team - Italia" [1] ieri è comparso questo report di quanto successo al CINECA et al. (di cui Rapetti in un articolo citato chiedeva conto, gli hanno risposto ieri :-) ): --8<---------------cut here---------------start------------->8--- «Compromissione di sistemi HPC internazionali» Alcuni centri di ricerca europei – fra cui l’inglese ARCHER (Academic Research Computing High End Resource), lo svizzero CSCS (Swiss National Supercomputing Center), i tedeschi bWHPC (Baden-Württemberg High Performance Computing) e LRZ (Leibniz-Rechenzentrum) e l’italiano CINECA (Consorzio Interuniversitario per la Gestione del Centro di calcolo elettronico) – hanno segnalato l’accesso non autorizzato ai propri sistemi di calcolo ad altissime prestazioni. L’attacco avrebbe interessato anche la Cina e il Nord America. Come informa il CSIRT-EGI*, gli attaccanti hanno utilizzato credenziali di accesso compromesse al fine di sfruttare la capacità degli elaboratori HPC per produrre criptovalute. Sono stati infatti rilevati, all’interno dei sistemi violati: [...] I punti chiave dell’attacco sono l’utilizzo di TOR o di host compromessi per la connessione agli host di proxy SOCKS e l’uso di differenti tecniche per nascondere le attività illecite, incluso un Linux Kernel Module malevolo (https://github.com/m0nad/Diamorphine). [...] --8<---------------cut here---------------end--------------->8--- Io non sono espertissimo di "incident response" ma a me pare che siano informazioni serie ed utili affiché chi ha le competenze riesca a capire esattamente cosa è successo, come e _forse_ perché. Ecco, io mi aspetterei un rapporto analogo sia per il recente "data leak" in INPS che per quello del S. Raffaele citato in questo thread. Lo dico da sistemista brizzolato: solo un computer spento (proprio scollegato dal cavo di alimentazione) non ha problemi di sicurezza e purtroppo alcune volte, per mille motivi, anche quelli bravi prendono fregature; è il modo in cui si risponde ai problemi di sicurezza che fa la differenza, la sicurezza "by obscurity of causes" non esiste. La buona pratica di pubblicare report di incidente come quello citato sopra dovrebbe essere applicata sistematicamente, almeno per le infrastrutture pubbliche. Ciao, Giovanni. [...] [1] https://csirt.gov.it -- Giovanni Biscuolo
Concordo con entrambi, ma... On Friday, 22 May 2020, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
La buona pratica di pubblicare report di incidente come quello citato sopra dovrebbe essere applicata sistematicamente, almeno per le infrastrutture pubbliche.
No, dovrebbe essere legge. Sarebbe anche utile avere responsabilità civili e penali chiare in caso di incidenti. Negli anni (e anche di recente) ho visto prendere moltissime decisioni progettuali scellerate da manager non semplicemente ignoranti, ma disinteressati al medio periodo delle aziende per cui lavorano. Spesso in diretto contrasto con l'opinione dei tecnici. Non posso descrivere i dettagli, purtroppo. Ma parliamo di contesti molto sensibili, come grandi società multinazionali "che non possono fallire". Non conto più i casi di incidenti non solo prevedibili, ma previsti. Eppure sembra che l'interesse per la sicurezza informatica sia inversamente proporzionale alle responsabilità decisionali. Al massimo "faremo fare un penetration test", come se fosse sufficiente. Se iniziassero a risarcire i danni un tanto al bit, forse... Giacomo
participants (3)
-
Enrico Nardelli -
Giacomo Tesio -
Giovanni Biscuolo