Lo scorso 29 Ottobre Anonymous Italia, la divisione italiana degli hacker attivisti dalla fama mondiale, ha iniziato una serie di attacchi alle istituzioni governative, alle università e ad altri apparati industriali. Il momento finale in cui verranno mostrati i dati più importanti sarà il 5 Novembre.
L’obiettivo? Il governo Lega – M5S. Così gli Anonymous stessi spiegano in un video nel loro canale, sempre più cliccato su YouTube: «In questa settimana cercheremo di porre fine a questo silenzio…se non avete visto niente, se i crimini di questo governo vi rimangono ignoti, vi consigliamo di lasciar passare inosservato il 5 novembre – si legge nel post che accompagna il video – ma se vedete ciò che vediamo noi, se la pensate come la pensiamo noi e se siete alla ricerca di come lo siamo noi, vi chiediamo di mettervi al nostro fianco e di non accettare più le menzogne e il bavaglio dello Stato».
Ogni giorno, vengono pubblicati dei dati che sono stati hackerati:
- Il 29 Ottobre è toccato all’Istruzione, in particolare le università.
- Il 30 Ottobre è stato il turno degli enti per il lavoro e per i sindacati.
- Il 31 Ottobre la sanità.
- Il 1 Novembre i mass media.
- Il 2 Novembre non è stato pubblicato nulla. Il loro stesso blog riporta “la calma prima della tempesta”.
- Il 3 Novembre Comuni, Regioni e Provincie.
La domanda che sorge spontanea è: perché colpire anche le università e enti come la sanità? La risposta, sempre scritta nel blog è che “è inaccettabile che istituzioni di stampo nazionale e non, con migliaia di iscritti, non abbiano un minimo di criteri di sicurezza per salvaguardare i dati dei propri utenti.”
La questione più preoccupante, al di là delle diatribe politiche, etiche e morali, che lascio ai colleghi umanisti, è la fragilità dei sistemi di sicurezza in ambiti così importanti come le istituzioni, la finanza e la sanità. In quest’ultimi, in particolare, la sicurezza informatica andrebbe (in teoria, in pratica abbiamo visto i risultati) messa al “primissimo” posto.
Ma questa sicurezza informatica, di cui abbiamo parlato e che è stata violata, in teoria come funziona?
In generale i manuali di sicurezza informatica introducono tre “attori” A (Alice), B (Bob) e T (Trudy, l’intruso). A e B vogliono comunicare T vuole intercettare e/o modificare il messaggio.
Inoltre una applicazione di sicurezza informatica deve avere quattro caratteristiche di base:
- Confidenzialità: solo A e B possono capire il messaggio.
- Integrità: il messaggio deve passare senza modifiche.
- Autenticazione “end -point “: B deve essere sicuro di comunicare con A.
- Sicurezza delle operazioni: chi offre il servizio deve usare dei firewall nei propri server, per evitare malware o virus.
Tutti i sistemi informatici lavorano chiaramente in bit, cioè l’informazione viene trasmesse in una serie di “1” e “0” secondo specifiche codifiche, per esempio la codifica ASCII. Tutta la sequenza di bit, che può essere ulteriormente suddivisa in messaggi sarà chiamata “m”.
Come si cifra un messaggio quindi? Semplicemente si applica un algoritmo di cifratura che, a partire dal messaggio m e dalla chiava K genera il testo criptato c. Chi riceve, dovrà applicare un algoritmo inverso con la giusta chiave per “sbloccare” il messaggio.
Esistono due tipi di crittografia: simmetrica e asimmetrica. Un esempio di crittografia simmetrica può essere una situazione in cui Bob e Alice conoscono entrambi la chiave K. Chiaramente Trudy no. Quindi al messaggio m di Alice viene effettuata una operazione logica detta “XOR”, cosa sia al momento non è rilevante, tramite la K. Quando il messaggio viene trasmesso Bob effettuerà l’operazione inversa e avrà il messaggio. Ciò è chiaramente possibile solo se entrambi conoscono la chiave. Come possono scambiarsi la chiave? Utilizzando la chiave pubblica. Bob manda ad Alice la chiave pubblica. Tutti la conoscono. Alice genera un messaggio cifrato usando una funzione per combinare messaggio e chiave di Bob. Quando il messaggio cifrato arriva a Bob egli usa la funzione inversa di quella usata da Alice per ottenere il messaggio. Qual è il trucco? La funzione è molto complicata per essere invertita, a meno che non si sa a priori, e necessita di molto tempo di calcolo da parte del computer di Trudy. Un esempio di funzioni così è l’algoritmo RSA (dal nome degli inventori Ronald Rivest, Adi Shamir, Leonard Adleman).
Non esistono solo i messaggi, anzi gli Anonymous hanno violato soprattutto i database.
Facciamo quindi un breve excursus su cosa sono i database e come vanno protetti. I database, in italiano “basi di dati”, non sono altro che “spazi di memoria” in cui vengono salvati dei dati in modo organizzato, utilizzando della “qualità” di ciò che è rappresentato. Questa, ovviamente è una descrizione molto semplicistica, al solo scopo di dare una vaga idea di cosa si sta parlando. In un database, comunque vengono raccolti dei dati, moltissimi dati, pensiamo soltanto al database di un ospedale, uno di quelli che sono stati violati. Al suo interno possiamo identificare tre tipi di dati: dati a riposo, dati in uso e dati in transito. I primi sono quelli già salvati, chiusi (i dati relativi ad una visita già fatta da un paziente), i secondi sono quelli che sono in fase di modifica (per esempio al cartella clinica di un paziente che è in fase di cura) e infine i dati in transito sono quelle che passano attraverso la rete (internet o locale non fa differenza). Per questi ultimi esiste la crittografia tramite protocollo HTTPS (chi non lo ha mai visto in cima ai siti in cui navighiamo ogni giorno?). Per i dati a riposo invece l’accesso ai dati è gestito tramite password. La password permette l’uso di una propria chiave pubblica (per esempio “Ka” per l’utente “A”, “Kb” per l’utente “B”) questa chiave pubblica serve per sbloccare un’ulteriore chiave che è chiamata dai manuali “Kdb” (chiave del database). Ovviamente le versioni criptate della Kdb devono essere riposte in altri server rispetto a quello del database. In sostanza, concludendo, un utente entra con la sua chiave, sblocca quella del database e accede ai dati che il sistema gli permette di avere a disposizione.
