Sicurezza informatica all’anno zero al Comune di Teano. Rete Wi-Fi non protetta: porte aperte per hacker e malware

L’analisi sui rischi per i dati sensibili dei cittadini, con l’esperto informatico Luciano Passariello

TEANO (Elio Zanni, con il contributo di Luciano Passariello) – La scoperta – e la denuncia – di oggi riguardano l’esistenza, a nostro avviso, di una falla di sicurezza di eccezionale gravità presso il Comune di Teano, dove riteniamo che l’assenza delle più elementari barriere informatiche rischi di trasformare (ovvero trasforma) l’infrastruttura pubblica in un “campo aperto” per qualsiasi malintenzionato. Non ce la siamo sentita, dopo una scoperta del genere, di girarci dall’altra parte e lasciare l’Ente potenzialmente esposto a un simile rischio.

Sì, perché parliamo della presenza di una rete Wi-Fi completamente aperta, priva di password, con un mancato isolamento dei dispositivi e l’assenza di informativa legale. Il tutto in violazione, sempre a nostro modesto avviso tecnico, del cosiddetto Cad (Codice dell’Amministrazione Digitale). Peggio ancora rispetto alle linee guida AgId, ossia sulla formazione, gestione e conservazione dei documenti informatici. Tutto questo mentre leggiamo sull’Albo pretorio online che – evidentemente – per la sola linea telefonica e dati il Comune spende periodicamente cifre superiori ai 17mila euro.

Ma andiamo con ordine e vediamo cosa è successo realmente. Ebbene, un utente – e weblettore – si è recato in un ufficio comunale per il disbrigo di una pratica. Sebbene avesse il cellulare con la connessione dati disattivata, riceve un messaggio WhatsApp. Incuriosito da tale circostanza, scopre che il suo smartphone si era collegato in automatico alla rete TP-Link_8Bf2, una rete Wi-Fi aperta, senza password e senza alcuna sicurezza, e che il sistema gli aveva assegnato un indirizzo IP di rete. Il tutto in assenza di una cartellonistica adeguata che segnalasse la disponibilità di una rete Wi-Fi aperta e senza alcun avviso circa l’accettazione delle modalità d’uso, tantomeno le regole da seguire.

La domanda che ci siamo posti e ci poniamo nell’interesse pubblico è questa: e se avesse dato seguito a un’attività di tipo criminale, cosa sarebbe successo? Per capire, prima di tutto noi, quali siano i rischi connessi a una tale situazione che solo per cautela espositiva definiamo “potenziale”, ci siamo rivolti a un esperto informatico, per così dire di casa nostra e che segue come pochi altri – sotto svariati aspetti – le sorti di questa città: Luciano Passariello.

«Mi corre l’obbligo dire subito che non rispettare quelli che sono i dettami basilari per la gestione di una rete informatica di una Pubblica Amministrazione, di cui è stato appena fatto cenno, significa prima di tutto dare la possibilità di collegarsi a una rete aperta e non sicura. E questo – e qui confermo, purtroppo, i vostri timori – espone le risorse a essa collegate a una serie di rischi non indifferenti che la maggior parte degli Enti trascurano.

Infatti, una volta che un dispositivo ha effettuato l’accesso a una rete locale e ottenuto un indirizzo IP e tutte le altre informazioni, è possibile procedere con la sua enumerazione, ovvero la sua mappatura. Tale attività non fa altro che raccogliere tutti i dettagli attivi sugli host (dispositivi) collegati in rete: i servizi attivi, i nomi degli utenti collegati, le “porte aperte”, cioè le vie di accesso alle risorse quali gli apparati di rete (router, switch, hub, access point, server) e i tipi di collegamento, cablati (via cavo) o wireless. Una vera e propria raccolta dati sulla tipologia della rete, eventualmente rappresentata anche in modalità grafica».

I discorsi qui si fanno sempre più complessi per chi non mastica queste cose e per i non addetti ai lavori. Ma ci sono in questo campo anche espressioni che riteniamo appartengano ormai al linguaggio corrente, anche solo per sentito dire. Diciamo, quindi, che il Comune, se la situazione descritta in apertura risultasse purtroppo esatta, stia correndo il rischio di possibili attacchi informatici?

«Beh, direi proprio di sì. Veda, garantire l’accesso a una rete Wi-Fi aperta, in un Ente pubblico, espone quest’ultimo a una serie di rischi in termini di sicurezza informatica tanto per gli utenti quanto per l’infrastruttura interna. Tali pericoli sono amplificati in contesti come gli uffici comunali, in seguito ai concetti di accessibilità universale e mancanza di crittografia. Un malintenzionato, con opportuni software disponibili nella rete, una volta ottenuto l’accesso alla rete aperta, può effettuare accessi non autorizzati alla rete interna e, in assenza di quelle divisioni logiche o fisiche tra reti aperte e reti locali degli uffici, grazie alla enumerazione o mappatura che dir si voglia, può accedere ai servizi interni o addirittura lanciare dall’interno attacchi alla rete di tipo DDoS (Distributed Denial-of-Service). Si tratta di attacchi informatici che inondano le risorse di rete (siti web, server, apparati) con enormi quantità di traffico, fino a causare l’esaurimento delle risorse del sistema attaccato, con conseguenti rallentamenti o addirittura con il blocco totale dei servizi.

Una volta “dentro il sistema”, l’attività può essere di tipo criminale, malevola o semplicemente esplorativa, per dimostrarne la vulnerabilità. Dall’interno sarà possibile copiare, modificare, cancellare o criptare i dati; accedere a dati più o meno sensibili; installare virus, “malware” o “trojan”. Un virus informatico generalmente richiede l’azione dell’uomo per attivarsi (ad esempio aprire un allegato): è un software sviluppato per infettare i dispositivi, replicarsi e diffondersi, il tutto di norma all’insaputa dell’utente. Può danneggiare i dati, rallentare il sistema o rubare dati sensibili. Un “malware” altro non è che un codice malevolo progettato per ottenere accessi non autorizzati a computer, reti e/o dispositivi mobili, danneggiare, interrompere servizi o spiare attività. Un cavallo di Troia – Trojan – è un malware che, mascherandosi da software benevolo, inganna l’utente e i sistemi antivirus per installarsi nel sistema. Non si auto-replica, ma crea delle porte di accesso (backdoor) per attività di spionaggio, furto di dati e/o danneggiamento degli stessi. In ultimo, ma non meno importante, da quella rete interna il dispositivo si potrebbe collegare all’esterno per compiere attività criminali o accedere a siti proibiti. In questo caso l’IP “visibile” sarebbe quello del dispositivo che ha garantito la connessione a Internet».

La situazione descritta e sottoposta all’analisi di Passariello, delinea un quadro di estrema vulnerabilità che va ben oltre la semplice disattenzione tecnica. Speriamo proprio di sbagliarci perché, poste così le cose, si configura una vera e propria negligenza amministrativa e digitale condannabile non solo dal punto di vista politico. In un’epoca in cui la “cybersecurity” è colonna portante della Pubblica Amministrazione, lasciare una rete Wi-Fi “aperta” e non isolata trasforma un servizio al cittadino in una porta d’accesso privilegiata per il “cybercrime”.

È paradossale che, a fronte di investimenti economici significativi per la connettività, manchino le configurazioni basilari previste dal Cad e dalle linee guida AgId. Non si tratta solo di proteggere la navigazione degli utenti, ma di blindare l’integrità dei dati sensibili dei cittadini e la continuità dei servizi istituzionali. Il rischio non è solo un eventuale blocco dei sistemi (DDoS), ma la responsabilità giuridica e d’immagine che ricadrebbe sull’Ente in caso di “esfiltrazione” di dati o attività illecite compiute attraverso i propri indirizzi IP. Ignorare questa falla significa esporsi a conseguenze legali e sanzionatorie inevitabili.

Ci sentiremmo tutti più tranquilli se il Comune di Teano, letto questo articolo di stampa, procedesse immediatamente a interrompere l’esposizione al rischio e procedere a un cosiddetto “Audit di Rete”, incaricando un tecnico per una scansione rapida dei dispositivi collegati, verificando che non vi siano già intrusioni o “backdoor” installate durante il periodo di vulnerabilità.

Sempre grazie al prezioso contributo di Passariello diamo ora, in aggiunta a quanto detto, alcune utili informazioni che aiuteranno il lettore a comprendere l’importanza della sicurezza informatica negli Enti pubblici, ma non solo, e degli effetti di una sua sottovalutazione.

«Una rete “Wi-Fi aperta” è una rete wireless accessibile senza password o credenziali di autenticazione, ovvero un sistema senza fili che consente ad un Host (dispositivo quale tablet, smartphone, pc portatile e non, ecc.) di collegarsi su detto sistema senza fornire un nome utente ed una password.

Tale sistema consente a chiunque si trovi nel raggio di copertura una connessione immediata tramite il nome della rete (in gergo tecnico SSID: Service Set Identifier – nome univoco assegnato alla rete).

La rete è resa visibile ai dispositivi che si trovano nelle sue vicinanze grazie a dei “segnali” (beacon – faro, segnalatore…) che la rete stessa invia nell’etere ad intervalli di tempo definiti., in modo che i vari dispositivi possano individuarla quando si effettua la ricerca dei una rete WiFi.

Nelle reti WiFi aperte, nome della rete e segnali non sono crittografati, cioè non sono trasmessi codificati ma chiari e leggibili. Questo tipo di rete è diversa dalle reti protette, in quanto si dà priorità alla facilità d’uso piuttosto che alla sicurezza.

L’insieme delle regole che disciplinano il formato dei dati che vengono scambiati su Internet o su una LAN (Local Area Network – rete locale ovvero insieme di più dispositivi connessi tra loro) prende il nome di IP – Internet Protocol – Protocollo Internet. Cosicchè ogni dispositivo connesso ad una rete locale o ad internet è identificato in modo univoco da un indirizzo IP. Una sorta di “numero” identificativo di quel dispositivo che gli viene assegnato nella maggior parte dei casi in modo automatico. Simile all’indirizzo civico di una abitazione. Serve per instradare il traffico di dati da e verso quel dispositivo.

Quando un qualsiasi dispositivo si collega in automatico ad una rete (che sia Wireless o meno) oltre che vedersi assegnato un indirizzo IP, riceve anche tutta una serie di informazioni utili affinché possa navigare nella rete locale e/o sulla rete internet. Nello specifico nome e/o IP relativi a:

• Gateway: “porta di accesso” che collega due reti distinte
• Subnet Mask: “maschera di sottorete” che definisce quale parte di un indirizzo IP identifica la rete e quale il dispositivo ad essa collegato. Permette dunque ai dispositivi di “capire” se un altro indirizzo IP si trova o meno nella medesima sottorete o in una rete esterna;
• DNS: Domain Name System. Una sorta di rubrica telefonica che traduce i nomi in indirizzi, utilizzati dal dispositivo per connettersi.

Fatta questa doverosa premessa, andiamo a vedere una rete WiFi aperta e disponibile in un’area di uffici comunali, cosa deve rispettare. Sicuramente tre livelli di requisiti: normativi (di legge); di sicurezza e di progettazione tecnica.

1. Il CAD – Codice dell’Amministrazione Comunale prevede che Stato Regioni ed Enti locali debbano assicurare ai cittadini la disponibilità di una connessione WiFi gratuita presso gli uffici e i luoghi aperti al pubblico; 

• anche se la rete WiFi è aperta, deve esistere una separazione logica o fisica della rete interna dell’ente in modo tale che gli “utenti esterni – ospiti – non abbiano accesso ai servizi attivi su quella rete;

• Il nome identificativo della rete wireless aperta – SSID – deve essere separato rispetto a quello dell’Ente, con regole diverse da questa che preveda ad esempio che i vari dispositivi ad essa collegati siano “isolati”. Cioè che non possano “vedere” gli altri collegati e le rispettive risorse;

• In diverse configurazioni, l’accesso gratuito per i cittadini è gestito tramite un opportuno sistema che prevede l’accettazione delle condizioni d’uso eventualmente con autenticazione mediante SPID/CIE/CNS per servizi aggiuntivi, pur lasciando l’accesso base “aperto”.

• Le linee guida dell’AgID – Agenzia per l’Italia Digitale – in uno con la buona pratica delle PA definiscono i requisiti tecnici dei dispositivi da utilizzare, nonché le architetture delle reti dedicate al servizio WiFi e le politiche da adottare per la gestione del “traffico di rete”, in modo che non si perda efficienza e prestazioni della rete medesima a discapito delle applicazioni in essa utilizzate dai vari uffici. Nella migliore delle ipotesi tanto i dati delle reti WiFi aperte quanto quelli delle reti degli uffici interni all’Ente, viaggiano lungo le stesse “dorsali” (infrastrutture portanti) ed attraversano “le stesse apparecchiature”, salvo una gestione oculata della rete.

• Il servizio di cui trattasi, deve essere gratuito con condizioni chiare di utilizzo pubblicate, che indichino ad esempio l’utilizzo non commerciale, il limite di banda disponibile, la durata della sessione. Eventualmente devono essere previste delle misure da porre in essere al fine di non degradare il traffico degli uffici in moda da non interferire con i servizi digitali dell’Ente H24».

Le domande che nascono spontanee sono:

• La rete WiFi aperta su cui si è collegato il nostro amico in automatico, è fisicamente/logicamente separata da quella dell’Ente (punto 2 precedente)?
• Quel nome di rete TP-LINK_8BF2 è utilizzato solo da utenti “ospiti” o anche dai dispositivi della lan dell’ufficio (punto 3 precedente)?
• Perché l’utente in fase di connessione alla rete WiFi aperta non ha ricevuto nessun messaggio di avviso circa le modalità d’utilizzo di quella rete (punto 4 precedente)?
• Siamo certi che l’accesso “ospite” su quella rete non influisca sulle performance della rete lan di quell’ufficio? Cosa sarebbe successo se l’utente ospite avesse generato un traffico tale da occupare tutta la banda disponibile della rete lan di quell’ufficio (punto 5 precedente)?
• Perché in quell’area non c’era nessun cartello/segnale che informava della disponibilità della rete WiFi aperta (punto 6 precedente)?

Esiste un ufficio tecnico che ha cura degli apparati di rete dei vari uffici nonché dell’intera infrastruttura di rete dell’Ente?