13.11.24
Fascicoli giudiziari, documenti d’identità, procedimenti interni. Non serve un hacker esperto per accedere al cloud che custodisce i documenti del Consiglio distrettuale di disciplina degli avvocati di Roma, esposto per un tempo indeterminato in rete e accessibile a chiunque ne conosca l’indirizzo. O che lo conosceva, almeno fino al 7 novembre del 2024, quando IrpiMedia ha scoperto che un errore di configurazione di un Nas (network attached storage, un’unità di memoria collegata alla rete) ne permetteva l’accesso a chiunque, senza credenziali.
L’inchiesta in breve
- Grazie a una segnalazione anonima, IrpiMedia ha scoperto che l’archivio digitale interno del Consiglio distrettuale di disciplina degli avvocati di Roma era accessibile e consultabile da chiunque ne trovasse l’indirizzo, esponendo centinaia di documenti riservati e dati sensibili
- È l’annoso problema di pubbliche amministrazioni ed enti pubblici, in cui la sicurezza informatica è ancora troppo trascurata, col conseguente rischio di subire gravi attacchi informatici o l’esfiltrazione di dati sensibili, documenti e informazioni che costituiscono il nocciolo di attività illecite come il dossieraggio
- Sono dati che hanno un mercato, come dimostra l’inchiesta Equalize, che ha permesso di svelare il business delle informazioni riservate e dello spionaggio digitale
- Prima della pubblicazione, IrpiMedia ha segnalato questa vulnerabilità al Consiglio distrettuale che ha potuto interrompere l’esposizione dei dati
- In Italia chi segnala può rischiare gravi conseguenze ed è scarsamente tutelato, come dimostra il caso di Luigi Gubello del 2017, quando aveva segnalato le vulnerabilità della piattaforma del Movimento Cinque Stelle Rousseau
Informato dalla redazione, il responsabile tecnico del Consiglio di disciplina è intervenuto chiudendo l’accesso al cloud privato. Ma come sempre, in caso di incidenti in cui dati sensibili vengono esposti, resi accessibili o sottratti senza autorizzazione, in inglese data breach, qualunque intervento rischia di essere tardivo rispetto a un’eventuale acquisizione di informazioni e documenti riservati da parte di attori malintenzionati.
Solamente nell’ultimo mese diversi episodi di acquisizione e traffico illecito di dati e informazioni hanno invaso le pagine della cronaca nazionale. Casi di attacchi informatici, come quello che ha permesso a Carmelo Miano di esplorare in lungo e in largo i sistemi del ministero della Giustizia, acquisendo atti d’indagine che lo riguardano; oppure di società che hanno potuto effettuare centinaia di migliaia di richieste ai sistemi interni e riservatissimi del ministero dell’Interno grazie a un presunto giro di favori e corruzione, come il caso di Equalize di metà ottobre.
Il caso Equalize
C’è modo e modo di informarsi sul passato di una persona o sull’affidabilità di un’azienda. A occuparsene sono aziende e professionisti che compiono le cosiddette analisi di due diligence: report che attingono da fonti aperte, registri delle imprese e articoli di giornale per assegnare un punteggio al bersaglio indicato dai committenti: luce verde, arancione e rossa del business. Questo tipo di ricerche deve avvenire all’interno di binari ben precisi per non sconfinare nel dossieraggio e deve essere certificato attraverso un sistema di autorizzazioni prefettizie, come quelle di cui sono dotati anche gli investigatori privati.
Un caso di sconfinamento sembra proprio quello rivelato dall’inchiesta scaturita dalla Direzione distrettuale antimafia di Milano che, il 3 ottobre del 2024, ha disposto le misure cautelari nei confronti di una rete di imprenditori ed ex poliziotti, accusati di gestire una rete di spie guidata dall’ex poliziotto Carmine Gallo e da Enrico Pazzali, presidente di Fondazione Fiera Milano.
Secondo l’accusa, la rete operava attraverso accessi abusivi a banche dati statali per raccogliere informazioni su individui, spesso a scopo estorsivo o ricattatorio. L’agenzia Equalize, gestita da Gallo, offriva questi servizi a clienti nel mondo dell’imprenditoria e della politica, fornendo report dettagliati sulle persone d’interesse. Non fonti aperte e registri pubblici dunque, ma vere e proprie ricerche effettuate nei database riservati delle forze dell’ordine, stando alle accuse della procura di Milano.
Tra i clienti figurano dirigenti di grandi aziende, come Leonardo Maria Del Vecchio di EssilorLuxottica, e società come Barilla, Erg, Ilva e Heineken.
L’inchiesta è esplosa il 25 ottobre, quando sono state eseguite le richieste di arresto per i principali membri della rete. Le attività di dossieraggio illegale si estendevano nel tempo e includevano l’accesso a dati sensibili di migliaia di persone.
Chiudono il cerchio distrazione e imperizia, che sempre più spesso rendono incerte le misure di sicurezza di infrastrutture sensibili di pubbliche amministrazioni ed enti pubblici – è questo il caso del Consiglio di disciplina dell’ordine degli avvocati di Roma – grazie alle quali raccogliere documenti e realizzare operazioni di dossieraggio in Italia è un gioco da ragazzi.
Il mercato delle informazioni riservate
«Il Nas era stato aperto per permettere l’accesso a una nostra dipendente durante il Covid», si giustifica al telefono E.C., sistemista incaricato dal Consiglio di disciplina di mantenere i sistemi di sicurezza dell’Ordine degli avvocati di Roma. La notizia dell’esposizione lo coglie di sorpresa, ma la reazione istintiva è quella di minimizzare il problema, precisando che i dati contenuti al suo interno sarebbero «vecchi e non aggiornati». Tuttavia le cartelle al suo interno vanno dal 2015 al 2023 e pure il contenuto delle stesse sembra aggiornato al più tardi fino all’anno scorso.
Per approfondire
Tra i vari documenti si trovano in particolare i procedimenti disciplinari a carico degli avvocati del foro di Roma, che riguardano accuse di truffa o imperizia nella difesa di un cliente. In uno dei casi di cui IrpiMedia ha avuto visibilità, si procede nei confronti di un avvocato accusato di essersi appropriato dei soldi che il suo cliente aveva versato per risolvere una vertenza. Tra i documenti spuntano indirizzi, fotocopie di documenti d’identità, ma anche le cartelle contenenti quello che sembra essere un archivio di email certificate (Pec), normalmente utilizzate per trasmettere le memorie difensive dei legali sottoposti a scrutinio disciplinare.
Queste informazioni hanno un mercato, come dimostra anche il caso di Equalize, la società di consulenza che secondo quanto ricostruito da un’indagine coordinata dalla procura di Milano vendeva a diversi clienti – imprenditori, manager, persone legate al mondo della politica e dello spettacolo – dossier con informazioni riservate. Se società come Equalize avessero avuto bisogno di una relazione dettagliata su qualche avvocato romano, sicuramente il server del Consiglio di disciplina sarebbe potuto essere una preziosa fonte di informazioni. E non si può escludere che sia stato utilizzato proprio a quello scopo.
Fuoco nel fuoco
IrpiMedia ha appreso dell’esistenza di questo imponente archivio grazie alla segnalazione di una fonte anonima che ha contattato la redazione attraverso IrpiLeaks, piattaforma web attraverso la quale otteniamo informazioni e documenti garantendo l’anonimato delle fonti.
La fonte ha trovato l’archivio digitale del Consiglio distrettuale grazie a Shodan: un servizio legittimo utilizzato dai tecnici informatici per testare la sicurezza delle infrastrutture sulle quali lavorano. Di fatto è un motore di ricerca che scansiona e indicizza dispositivi connessi a Internet, come server, webcam e router, permettendo di individuare vulnerabilità o configurazioni esposte pubblicamente. Così è stato possibile individuare il server del Consiglio di disciplina, con tanto di indicazioni su quale fosse la porta dalla quale accedere a questo e a un’altra decina di Nas mal configurati solamente in Italia.
Sostienici e partecipa a MyIrpi
Tra questi anche un archivio afferente a una società di gestione di uno dei principali scali aeroportuali italiani. L’archivio, identificato col nome di un hangar, riportava informazioni e documenti tecnici sia sui voli che sono passati da quel vettore sia sulla manutenzione dei voli stessi. Tuttavia, accertata l’esposizione di questo Nas in rete e la sua accessibilità da chiunque, entro poche ore è diventato irraggiungibile: segno che qualche sistema automatico potrebbe aver rilevato un accesso esterno, allertando i sistemisti.
Non si può dire altrettanto del sistema in forza all’organizzazione forense della Capitale, rimasto esplorabile per diversi giorni dopo la sua prima scoperta. Nessun allarme automatico sembra aver messo in allerta chi lo gestisce, prima che fosse IrpiMedia a sollevare il problema.
Al suo interno, insieme ai documenti riservati e alle linee guida per la corretta gestione dei servizi informatici del Consiglio di disciplina, campeggiano archivi di foto e cartelle di musica create tra il 2020 e il 2023. Una di queste si chiama «Eros Ramazzotti» e contiene file musicali. Questo dettaglio rivela che non sono stati operati controlli puntuali come prescritto dal medesimo regolamento di uso della rete di cui si è dotato il Consiglio di disciplina. IrpiMedia ne ha ricevuta una copia insieme alla segnalazione anonima e il testo prescrive regolari accertamenti per verificare la presenza di file non inerenti l’attività del Consiglio.
«Nessuno tranne me può monitorare i sistemi del Consiglio di disciplina per ragioni di privacy – spiega il tecnico incaricato dal Consiglio di disciplina –. In ogni caso era richiesta una password per accedere». Diversamente da quanto affermato dal tecnico, IrpiMedia ha potuto accertare come nessuna password fosse richiesta per accedere o scaricare i singoli file.
Chiunque potrebbe aver avuto accesso al database negli ultimi anni – almeno dalla pandemia di Covid-19 in poi – passando sostanzialmente inosservato. Ma cosa sia successo su questa infrastruttura sarà difficile da ricostruire: dal regolamento tecnico si apprende che i log di sistema (il registro di tutte le attività compiute dentro un computer) dev’essere conservato per tre mesi. Rimangono scoperti almeno tre anni di esposizione della memoria digitale, nella quale letteralmente chiunque potrebbe avervi avuto accesso acquisendo documenti e informazioni sensibili.
«Enti come i Consigli distrettuali di disciplina dovrebbero essere tra i più attenti a proteggere i propri archivi, che possono contenere informazioni sui procedimenti in corso e altri dati della massima riservatezza – spiega a IrpiMedia Aldo Luchi, avvocato ed ex presidente dell’Ordine degli avvocati di Cagliari –. Esistono per esempio sanzioni disciplinari non gravi per le quali non è previsto l’obbligo di pubblicazione e che, in caso di compromissione di un Nas, potrebbero essere state indebitamente esposte. Ma ancora, potrebbero essere state esposte le identità dei segnalanti, avvocati o meno, che si sono rivolti a uno degli Ordini professionali che afferiscono a quel distretto per denunciare un abuso o una violazione», chiosa l’avvocato.
Contattato via mail, il Consiglio distrettuale di disciplina non ha risposto alle domande di IrpiMedia. In una nota commenta che «sono stati (sic) avviate verifiche al fine di accertare se vi siano stati accessi abusivi al sistema» e che «ogni accesso agli archivi del Consiglio di disciplina è consentito solo agli utenti accreditati e con l’utilizzo di password personali». La risposta è firmata dallo stesso tecnico informatico e, in seconda battuta, dal presidente Luca Conti.
IrpiMedia ha provato a segnalare la violazione di sicurezza all’account di posta elettronica ufficiale del Responsabile per il trattamento dei dati dell’Ordine degli avvocati di Roma. Dopo appena pochi secondi una mail automatica ci ha informato che la consegna del nostro messaggio è stata respinta a causa delle configurazioni di sicurezza dell’indirizzo.
Segnalare o tirare dritto
«Incuria e carenza di budget nella sicurezza vanno di pari passo: è per questo che troppo spesso piccoli enti giocano al risparmio e affidano i propri sistemi a personale insufficiente in quantità o impreparato», osserva Luigi Gubello, senior security engineer di una società informatica con uffici a Berlino. «Quando poi segnali una vulnerabilità, in Italia, all’improvviso vieni visto come un problema o una seccatura, piuttosto che come una persona dotata di senso civico che cerca di compiere una buona azione».
Diventa una fonte.
Con IrpiLeaks puoi comunicare con noi in sicurezza.
Lo sa bene proprio Gubello, che nel 2017 aveva segnalato al Movimento Cinque Stelle (M5s) le vulnerabilità di Rousseau, la piattaforma di voto interna di proprietà dell’azienda di Davide Casaleggio, presidente dell’associazione Rousseau e socio fondatore del Movimento insieme all’allora «capo politico» Beppe Grillo.
L’esito di quella rivelazione fu una querela per accesso abusivo a sistema informatico che costò all’informatico un’esposizione mediatica senza precedenti. Dopo i primi avvisi ai sistemisti del M5s, una volta osservato che la sua segnalazione era stata ignorata, Gubello aveva deciso di renderla pubblica utilizzando un profilo anonimo – Evariste Galois, in onore di un matematico francese del 1800. Fu così che partì un’indagine volta a cercare di individuare l’hacker che aveva permesso di denunciare i rischi a cui erano esposti gli utenti della piattaforma.
Contestualmente, un criminale informatico nascosto dallo pseudonimo Rogue Zero aveva pubblicamente criticato Gubello, spiegando che fino a quel momento e per diversi anni aveva potuto lucrare sui dati rubati dalla piattaforma di voto proprio grazie al fatto che nessuno aveva denunciato le falle dell’infrastruttura.
«Troppo spesso ancora in Italia si valuta che una risorsa debba essere messa in rete senza troppa attenzione alla sicurezza, semplicemente perché serve che stia lì – spiega Gubello –. Però manca ancora la cultura della segnalazione, come avviene in altri Paesi nei quali è comune venire addirittura ricompensati se si segnala una vulnerabilità, e spesso è difficile anche capire con chi si può parlare e se eventualmente si rischia di incorrere in conseguenze di tipo legale».
Fortunatamente per Gubello, la sua vicenda si era conclusa con il ritiro delle accuse da parte dell’associazione Rousseau, dopo che l’inquisito aveva dimostrato pubblicamente e in tribunale di aver fatto tutto il possibile per allertare i tecnici della piattaforma, prima di risolversi a denunciarne pubblicamente le falle.
Ma sulla tutela dei dati è cambiato il mondo da allora: in primis con l’entrata in funzione del Regolamento generale per la protezione dei dati dell’Unione europea, che dal 25 maggio del 2018 impone ai titolari del trattamento di dati personali di informare il Garante privacy nel caso di violazioni e data breach.
Accedi alla community di lettori MyIrpi
Oggi sta al Consiglio di disciplina dell’Ordine degli avvocati accertare che non siano state effettuate acquisizioni illegali di documenti o informazioni sensibili e segnalare all’Autorità garante il data breach avvenuto. Ma come detto, il periodo di conservazione dei log dovrebbe attestarsi a tre mesi, rendendo virtualmente impensabile una completa ricostruzione di eventuali esfiltrazioni di dati negli ultimi anni.
Ironia della sorte vuole che il ministero della Giustizia abbia sofferto di un simile problema. Come rivelato da IrpiMedia, quando è stata scoperta l’intrusione di un hacker nei computer delle procure e di oltre quaranta magistrati, i log di accesso avevano già sovrascritto parte delle sue azioni, rendendo incomplete e fallaci le ricostruzioni degli investigatori informatici.
Tredicimila indirizzi Ip esposti in rete
Secondo i dati raccolti da Istat e analizzati dal Cert (Computer Emergency Response Team) di Agid, l’Agenzia per l’Italia digitale, incaricata di monitorare lo stato di avanzamento della digitalizzazione nel Paese, dal 2018 al 2022 i servizi cloud delle pubbliche amministrazioni sono aumentati dal 34,3% al 54,2%. Ma con l’estendersi del perimetro digitale del Paese, aumentano anche le vulnerabilità. Per quanto riguarda le pubbliche amministrazioni, riscontra Agid, sette amministrazioni pubbliche su dieci non hanno una gestione codificata degli eventi di sicurezza. In altre parole, non sono strutturate in modo da far fronte in modo efficace a un attacco informatico.
Ad allarmare di più è l’esposizione di computer, server e Nas, sul web. Così come la fonte di IrpiMedia, anche Agid usa Shodan per analizzare gli indirizzi Ip della pubblica amministrazione italiana: da un’analisi pubblicata nel 2021 è emerso che il 21% di questi – più di 13mila – ha almeno una vulnerabilità. Si tratta di migliaia di porte di accesso non presidiate attraverso le quali un attore malevolo potrebbe installare un malware e mettere in ginocchio l’ente. Anche se talvolta può risultare più proficuo sfruttare questi accessi per acquisire e scaricare informazioni sensibili per costruire dossier e archivi di dati sensibili, da rivendere al miglior acquirente.
Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.