Lettera aperta al #Garante sul Leak di Visura.it e dell’Ordine degli Avvocati di Roma

L

Caro Garante
(e cari Organi di Vigilanza della PEC per conoscenza),

0ggi vorrei parlarti di quello che, secondo me, è il più importante Leak su cui hai messo mani negli ultimi cinque anni, e spiegarti perché proprio questo Leak di Anonymous Italia su l’Ordine degli Avvocati di Roma e su “visura.it” rappresenta così tanta importanza su così tanti fronti.

Nella giornata del 7 di maggio il blog di Anonymous Italia ha messo online user e password di due pannelli di controllo e una serie di link di dati.
In questi link di dati ci sono tante cose; ci sono un sacco di cose afferenti al sindaco Virginia Raggi, ma di quello mi interessa relativamente poco così come della politica in genere, e molto meno che non di altre cose di cui vorrei parlarti oggi.
Oltre a quello vi sono nel Leak due file particolari di cui vorrei discorrere: oggi il primo si chiama “12425 Utenti Visura.csv” ed il secondo “26922_Utenti_PEC.csv”.

Partiamo da “26922_Utenti_PEC.csv”: come avrai intuito si chiama così perché contiene davvero i contatti (ID univoco, nome utente, email, password) di oltre 26 mila utenti della PEC dell’Ordine degli Avvocati di Roma. Sì, la PEC, la Posta Elettronica Certificata, quella che qualche organismo dovrebbe in teoria controllare, validare, quella che dovrebbe avere degli standard di sicurezza inattaccabili. Quella PEC che, assieme ad identità digitale e firma digitale, sono le tre gambe della fiducia nell’e-government e nei rapporti digitali tra cittadini, organizzazioni ed istituzioni.
Ecco, in questo caso niente ha funzionato come doveva, SOPRATTUTTO per la criminale colpevolezza degli organismi preposti alla vigilanza di un servizio tanto vitale per lo Stato. A partire dalle user e password per i pannelli di controllo che erano “admin/admin”. No, non sto scherzando.
Fino al fatto che questo file presente nel Leak contiene le caselle di posta elettronica comprensive di nome utente e la password, in chiaro, di tutte e 26 mila e passa. Da quello che ci è dato sapere ad oggi si tratta dell’elenco completo di tutte le user e password originarie con cui è creata la casella, quindi se qualcuno l’ha cambiata nel frattempo probabilmente non è all’interno di questo database ma una buona parte degli utenti – oserei dire la maggior parte – hanno lasciato come sai quelle di default.
Ci sono tante cose che vorrei dirti spero che mi perdonerai se non le metto nell’ordine di importanza corretto.

Partiamo dalla prima. Siamo d’accordo che mantenere all’alba del 2019 un database in chiaro di tutti gli username e password sia talmente grave che sappiamo non esistono le pene corporali all’interno del mondo dello sviluppo software, ma se esistessero sarebbero parimenti da mettere a morte il committente, il referente di progetto ed i programmatori sottesi?
Mantenere un database di questo tipo non cifrato è non solo “contra legem” – come sai benissimo tu meglio di me – ma espone a un problema enorme di sicurezza tutte le caselle che sono in questo momento coinvolte.
Già perché ti dirò di più: nella giornata di ieri, dopo che si è saputo del Leak, nessuno ha disabilitato il servizio di posta elettronica preventivamente. Lo so perché per buona parte della mia giornata ho passato il tempo a telefonare ad amici avvocati romani per avvisarli di questa cosa e a un paio di questi ho chiesto la possibilità di poter entrare nella loro casella per controllare, e la mail in questione era perfettamente attiva.
Questo significa che per ore, per decine di ore, milioni di persone in giro per il mondo hanno avuto potenzialmente accesso a queste mail e hanno potuto non solo entrare, ma anche programmaticamente scaricare tutto quello che vi era contenuto.
Non mi preoccupa in questo momento la privacy dell’avvocato di riferimento: è un problema suo e la natura è già stata molto molto cattiva verso quegli avvocati che hanno tenuto la password di default della casella di posta elettronica, non vedo perché infierire io. Mi preoccupa invece l’Ordine perché in questo momento vuol dire non tanto che la privacy degli avvocati è stata lesa quanto di tutti quegli utenti – gli assistiti – che erano citati all’interno di queste caselle di posta elettronica.

E sì, c’è stato l’accesso a quei dati: lo vedi perché all’interno della directory “PEC” del Leak di Anonymous ci sono i contenuti di una serie di caselle di posta elettronica: lì ci sono i dati degli assistiti e proprio lì è venuto meno il diritto sacrosanto alla difesa. Perché?
Beh perché se io fossi stato un avvocato un po’ malandrino la prima cosa che avrei fatto ieri sarebbe stato andare nella mail della controparte per vedere cosa diceva riguardo al dibattimento, per vedere le comunicazioni con il cliente. Il diritto alla difesa è stato leso in maniera, credo, non più salvaguardabile in questo momento.
E si tratta del diritto alla difesa di migliaia e migliaia di cittadini, molti di più delle 26 migliaia delle caselle di posta elettronica, perché mi mi aspetto che ogni avvocato gestisca qualche decina di clienti per poter sopravvivere…
Ecco sono quelle le persone deboli in questo momento, che hanno visto scemare la loro possibilità di difendersi in un regime preciso puntuale di regole, in un regime di segretezza che è venuto a mancare a causa di grossolane e incredibili deficienze nelle più basiche norme di sicurezza: che nel 2019 ci siano gli elenchi delle password in chiaro è qualcosa che va al di là del bene e del male. Siamo d’accordo, vero?

Detto questo, il secondo file non è meno importante ed è quello di visura.it, servizio online collegato, se non ho capito male, dal medesimo gestore delle caselle. Ecco, qui la condizione è anche peggiore, perché qui invece sono stati leakkati tutti i dati: demografici, numero di telefono e mail dei clienti. Vi sono finite anche le password, ancora una volta in chiaro nel 2019. Una cosa ancora una volta fuori dalla grazia di Dio ed al di là di ogni tipologia di pena da comminare che non sia la corporale.
Non solo: ancora una volta non ce l’ho con gli avvocati che hanno scelto password incredibilmente stupide: non ce l’ho perché ancora una volta sostengo che la natura abbia già fatto il suo corso, però ho deciso di agevolarti nell’analisi perché so che è difficile fare Password Analysis.
L’ho quindi fatta io su tutte le oltre 12000 password presenti nel database.

la prima delle top 10 è “avvocato”, in minuscolo: sono ben 87 i cerebrolesi che hanno utilizzato “avvocato” come password per un sito dedicato agli avvocati.
Poi ci sono 32 subumani che hanno usato “1234567” come password, 25 che hanno utilizzato “forzaroma”, che li classifica due volte secondo me, 19 con “lorenzo” e 18 “francesco”, che non si capisce se siano invasati cattolici o invasati di Totti. Sono 18 le password “camilla”, 17 le “francesca”, 16 le “alessandro”, 15 “federica” e 15 “stefano”.
Oltre al fatto di avere un quoziente intellettivo a temperatura ambiente per chi ha scelto queste password, vorrei fermarmi un secondo caro Garante sul fatto che la piattaforma evidentemente non facesse minimamente enforcing dei criteri normali di sicurezza, ma questo lo si trova anche da un altro tipo di analisi: la lunghezza delle password.
Sebbene il 33%, pari a 4.169 password, siano di 8 caratteri, ce ne sono almeno 2.354 che sono di 7 caratteri.
Ma la cosa che forse mi ha più lasciato basito è l’entropia della password: il 41% delle password , 5.160, sono composte da tutti caratteri alfabetici minuscoli.
Le password composte da caratteri alfabetici minuscoli più numeri sono 3.800, mentre 1218 – oltre il 10% – sono le password composte da solo numeri.
Vogliamo sapere quante su dodicimila e passa password sono quelle implementate con una entropia corretta e cioè che contengono maiuscole, minuscole e segni grafici? Troviamo questo valore in fondo alla lista con una percentuale dello 0,66%, cioè 82 su 12.000.

Ecco Garante, credo che il problema vero adesso sia mantenere la fiducia nella TUA istituzione, ma non tanto per tutelare gli avvocati, che secondo me in questo caso non sono parte lesa: ci servi per tutelare gli assistiti, che qui si sono trovati nelle mani di servizi informatici che definire scadenti non rende minimamente l’idea, gestiti in maniera se vogliamo essere particolarmente magnanimi dilettantesca e bambinesca, al di sotto di qualunque sistema di gestione della sicurezza e di gestione delle password.
Io penso che sia gravissimo, davvero. Lo dico perché su cosa deciderai tu si valuterà un po’ quanto il Garante sia dalla parte delle persone o dalla parte delle Istituzioni.

E credo che sia questo il punto fondamentale.

Qui i veri danneggiati sono gli assistiti, qui l’Ordine ha fatto di tutto per non garantire il minimo di sicurezza che negli anni ’90 doveva essere parte di una infrastruttura di questo tipo, e dico anni ’90 perché è dagli anni ’90 che io non vedo più password salvate in chiaro. Tutto qui.
E questa vicenda è estremamente preoccupante, e c’è da auspicare che i soggetti che sono chiamati a vigilare ai sensi delle Norme Europee e
Nazionali (AgCom ed Agid in primis), conducano tempestivamente una approfondita verifica e siano precisi e rigorosi nei provvedimenti opportuni da adottare, nel caso si riscontrino delle responsabilità, responsabilità che non POSSONO non essere trovate.

Che non DEVONO non essere trovate in condizioni come queste, in cui è impossibile che non si conoscesse la infrastruttura richiesta ed acquistata.
Perché è in ballo davvero la FIDUCIA che i cittadini, qui, hanno nelle Istituzioni come la Tua, caro Garante.

Grazie di aver speso questi 10 minuti, Garante, lo apprezzo veramente tanto e sono a disposizione per qualunque altra delucidazione dovesse eventualmente servirti da lato mio. E, soprattutto, sono tanto tanto speranzoso che qui ci sia davvero un intervento.

Ti si aspetta e si ha fiducia.

In fede.
Matteo.

533. Video-Lettera aperta al #Garante sul Leak di Visura.it e dell’Ordine degli Avvocati di Roma

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.