Quale studente moderno non ci hai mai pensato? “Hackerare” il registro elettronico per gonfiare un po’ quelle brutte insufficienze rosse che stonano sul prato verde di stiracchiati 6? Diciamoci la verità, tutti lo hanno sognato almeno una volta e qualcuno, forse, all’inizio è anche riuscito a farlo con qualche strana avventura rocambolesca, magari sfilando la password dal taccuino del docente anziano.
(Riferimenti a persone o fatti realmente accaduti sono da ritenersi totalmente casuali, chi pensa che questo aneddoto riguardi chi scrive si sbaglia di grosso…)
Insomma, in ogni caso niente da poter considerare sistematico o strutturale.
Ora invece la situazione sembra essere completamente diversa: il registro elettronico targato Axios è stato attaccato da un gruppo di hacker, al momento ancora anonimi, che avrebbero chiesto un consistente riscatto in cambio dello sblocco del programma. Ovviamente riscatto da pagare in Bitcoin.
Ma andiamo con ordine: Axios è una delle varie società che gestisce le piattaforme di registro elettronico, anche se la maggior parte avrà più familiarità con Spaggiari per il più noto ClasseViva. Insomma, di registri elettronici ce ne sono vari, tutti teoricamente inviolabili e garantiti dai più alti standard di crittografia elettronica. La storia del furto con scasso, ci insegna però che non esistono porte blindate al cento per cento, così come non esistono sistemi di sicurezza informatici infallibili.
Gli hacker che hanno prelevato decine di migliaia di file del registro elettronico delle scuole di tutta Italia ne hanno dato piena dimostrazione. La società che fornisce il servizio ha dovuto quindi sporgere denuncia alla polizia postale e al momento non sarebbe ancora stato pagato alcun riscatto, né ci sarebbe l’intenzione di farlo.
«A seguito dell’attacco subito dalla nostra piattaforma inviamo di seguito le istruzioni per gestire il registro di emergenza del protocollo», scrive sul suo sito Axios. Da alcuni giorni, infatti, non si ottiene nessuna risposta dalla piattaforma. Questa però non è la prima volta che questo registro elettronico viene messo sotto scacco da un attacco.
Anche a Pasqua dello scorso anno la piattaforma è rimasta fuori uso. Trattandosi di giorni di festa, molti genitori e studenti pensarono ad un mancato aggiornamento o a un rallentamento del sistema dovuto a lavori. Invece, al rientro dallo stop pasquale, è scoppiato l’allarme: impossibile caricare compiti, lezioni, documenti, voti.
In entrambi i casi, la dinamica è stata identica: in Axios si sono accorti che qualcosa non andava alle due di venerdì notte, e dopo due ore hanno avuto la conferma di essere sotto attacco ransomware.
(per i non addetti ai lavori: si tratta di un virus che manda in blocco la pagina di accesso principale, fino a causare la caduta del sistema)
La pagina principale è quindi stata sostituita da una schermata di scherno, con tanto di richiesta di riscatto in Bitcoin, per un valore di diverse decine di migliaia di euro, insieme ad un nome utente Telegram da contattare per il pagamento e la risoluzione dei problemi. Indubbiamente dei burloni questi hacker, hanno infatti promesso che, dopo il pagamento, se necessario sarebbero stati disponibili a mandare un video tutorial per il ripristino completo.
Axios ha deciso invece di affidarsi a due società esperte di sicurezza informatica per provare a sbrogliare la matassa, una delle due sembrerebbe addirittura lavorare per l’esercito americano.
Se la società che detiene ben il 40% dei dati personali della totalità degli studenti italiani si deve rivolgere ad aziende terze per salvaguardare questi dati, allora forse il problema potrebbero non essere gli hacker che sfruttano le falle di sicurezza, ma i programmatori e gli analisti di Axios che lasciano ampio margine di libertà ai possibili pirati.
Le due società si sono subito messe in opera e hanno tratto le prime conclusioni: nessun dato è stato cancellato, né risulta uscito dai sistemi. La privacy degli studenti è tutelata, assicurano i responsabili della piattaforma. D’altronde, non è che ci siano nemmeno dati così tanto sensibili all’interno di un registro elettronico. O perlomeno non ci sono dati diversi da quelli che sono già stati inseriti sul resto dei social: nome, cognome, data e luogo di nascita che sono la base per identificare una persona, tutti dati che sui social scriviamo volontariamente nelle varie biografie. A chi potrebbe interessare il compito di matematica di fine gennaio in cui avete preso 3 oppure 9?Probabilmente a pochi al di fuori di vostra madre già con la ciabatta in mano, ciò non toglie che anche un attacco del genere aumenta il ranking dalla banda.
Ebbene sì, per chi non lo sapesse, esiste anche un ranking reputazionale delle organizzazioni di cybercriminali, da esse stesse alimentato tra l’altro. Questo è finalizzato a garantire la loro «serietà» alle aziende o le organizzazioni attaccate. Serve a dimostrare se mantengono le promesse in un senso cioè pubblicando o vendendo i dati sensibili se non vengono pagati o nell’altro cioè sbloccando e non diffondendo i dati dopo aver incassato. Al ranking corrisponde ovviamente anche un listino prezzi differente perché esso dimostra appunto che non si sta scherzando.
Ecco qualche esempio: il riscatto medio richiesto dal gruppo hacker Maze nel primo semestre 2020 è pari a 420.000 dollari, mentre Ryuk e Netwalker si attestano rispettivamente sui 282.590 e 176.190 dollari. Non parliamo certo di spiccioli insomma.
Qua però non si parla solo di attacchi ai registri elettronici: per quanto sia ugualmente illegale, bloccare il sito con all’interno i dati degli studenti, impallidisce rispetto alla lista che seguirà tra poco. Nell’ultimo anno infatti troviamo l’attacco a Campari con la richiesta di un riscatto da 16 milioni, due volte l’Enel per 14 milioni, la Bonfiglioli per 2.4 milioni, Luxottica, Piaggio, Nova Biomedical, Gefco Group, Geox, Garmin, Ho Mobile lo scorso gennaio e addirittura il Comune di Rieti per circa 500 mila, per non parlare poi di Tiscali, Irbm o l’Ema (l’genzia europea per la valutazione dei medicinali). Questo solo per citare alcuni dei casi più eclatanti avvenuti ultimamente.
L’Italia risulta piuttosto vulnerabile se prendiamo in esame la classifica delle nazioni europee per grado di esposizione al rischio stilata da PasswordManager, autorevole società internazionale specializzata in sistemi di sicurezza. Secondo i dati raccolti nel 2020 ci assestiamo al quattordicesimo posto, tra la Slovacchia e la Slovenia. Decisamente maluccio considerando l’importanza che ha oggi internet e quanti dati molto sensibili viaggiano attraverso esso.
Rincariamo la dose dicendo che sempre durante lo scorso anno, secondo le rilevazioni statistiche della Polizia Postale, gli attacchi informatici contro le infrastrutture critiche (danneggiamento, interruzione del servizio, furto dei dati a scopo estorsivo) sono cresciuti del 246%. Dati molto negativi figli dalla percezione che ancora c’è verso gli investimenti in cybersicurezza che vengono ancora percepiti solo come un costo, salvo poi dover correre ai ripari solamente dopo aver ricevuto un attacco informatico, con conseguenze economiche ben più rilevanti.
Commenti recenti