immagine-preview

Mar 9, 2018

Account MIUR violati. Il ministero smentisce, gli scenari a due mesi dall’entrata in vigore del GDPR

Anonymous rivendica accesso agli archivi del Miur e pubblica migliaia di credenziali. In serata il ministero nega. Ci siamo chiesti quali possono essere i due scenari più probabili a poco più di due mesi dall'avvio del nuovo regolamento sulla protezione dati

Mentre nell’Italia del post elezioni ci si interroga sulla possibile formazione di Governo ed online leggo della presa di coscienza dei partiti vincitori circa la necessità di approcciare in maniera sistemica la cyber security, la notizia della violazione di un archivio del Ministero della Pubblica Istruzione comincia a diffondersi in rete.

Compromessi gli account del MIUR

Un’ala italiana del collettivo Anonymous torna a far parlare di sé, questa volta gli attivisti sono riusciti a compromettere un database del Ministero della Pubblica Istruzione ed hanno pubblicato online 26 mila record contenenti email e password di professori che afferiscono al Ministero per l’Istruzione, l’Università e la Ricerca.

Vi chiederete perché Anonymous ha scelto questo ministero, se l’attacco è frutto di un’azione mirata oppure una volta scoperta la possibilità di colpire i sistemi del MIUR si sia deciso di costruire un manifesto coerente con l’eclatante operazione.

Stando al comunicato del collettivo, la violazione è la risposta di Anonymous Italia al progetto del Ministero di alternanza scuola lavoro che interessa gli studenti degli ultimi tre anni delle scuole superiori, licei compresi, come stabilito dalla legge 107 del 2015, la cosiddetta “Buona Scuola”.

 

Il messaggio di Lilzsec Italia

Secondo gli attivisti la modalità formativa è una forma di sfruttamento degli studenti.

La notizia dell’attacco è diffusa dal collettivo Lulzsec Italia con un messaggio al Ministro dell’istruzione, dell’università e della ricerca Valeria Fedeli.

Lulzsec è un collettivo noto da tempo alle autorità, in questo caso agiste come portavoce del gruppo “Anonymous” Italia.

“Salve popolo, siamo qui oggi per comunicarvi con grande gioia, che circa 26.600 dati personali (email, password, cellulari, indirizzi) di maestre, insegnanti, referenti e dirigenti di molte scuole italiane sono entrate in nostro possesso!” recita un Tweet condiviso da Lulzsec Italia.

Lulzsec non è il solo gruppo di hacktivisti che opera nel nostro paese, ricordiamo ad esempio AnonPlus, che è dietro gli attacchi alla stampa (i.e.Libero e il Giornale) e di recente al blog di Salvini.

“Salve Ministro dell’Istruzione, Valeria Fedeli, le diamo il benvenuto nell’arena. Siamo qui oggi per parlare di un tema delicato che ha fatto discutere molto, ovvero l’alternanza scuola lavoro. L’alternanza scuola lavoro, nasce con l’intento di far conoscere agli studenti il mondo del lavoro, o almeno questo vuole essere lo scopo della gentile Sig.ra Fedeli”. Recita il comunicato di LulzSecITA.

“Studenti di un liceo scientifico che iniziano a conoscere il mondo del lavoro a partire da una catena di cancro come McDonald’s, può essere paragonata solamente alla stregua di un povero elefante in un negozio di porcellana, studenti che alla fine vengono anche sfruttati solo per il vostro interesse nell’avere manodopera giovane e gratuita. Siete solo aguzzini che sfruttano l’esperienza nulla che hanno i giovani d’oggi approfittandovene per il vostro tornaconto personale.”

 

La denucia degli hacker sulla scuola italiana

Gli hacker denunciano le precarie condizioni della scuola italiana, accusano di “infrastrutture inadeguate o fatiscenti, gli insegnanti ignoranti e negligenti e per tutta la farsa di studiare materie improntate non alla logica ma al puro nozionismo”.

Insomma, Anonymous sale in cattedra e bacchetta un’istituzione allo sbando, ma lancia un messaggio proprio al Ministro reo di sfruttare gli studenti con programmi privi di ogni logica.

“Ma tanto alla Sig.ra Fedeli & Company, cosa interessa? Lei e la sua ciurma a fine mese hanno sempre lo stipendio in banca (chissà per quanto), lasciando fare quella misera esperienza lavorativa agli studenti.” Ma l’affondo riguarda l’inesperienza nel campo della sicurezza informatica che gli hacker attivisti considerano “un vero insulto verso tale ARTE, dato che avete dimostrato di non riuscire a gestire nemmeno un semplice sito.” Conclude il comunicato.

13mila indirizzi mail a rischio

Stando ai dati forniti dal Manifesto, primo insieme all’AGI a denunciare l’accaduto i database hackerati sono 52, 1048 le email scolastiche che finiscono con “@istruzione.it”

Negli archivi troviamo 6048 indirizzi email di scuole, 63 di coordinatori, 355 del forum “Indire”, 42 di Xforum, 148 di dirigenti scolastici, 155 di referenti, 6808 di insegnanti. Sono presenti inoltre circa 13 mila indirizzi email privati di persone collegate alla Scuola ed alla Ricerca.

Queste informazioni, se autentiche, potrebbero essere utilizzate per diverse finalità dagli attaccanti, dal furto di identità agli attacchi di spear-phishing. I docenti ed il personale del ministero esposti devono immediatamente cambiare la password esposta nell’attacco, su tutti quei servizi web dove condividevano le medesime credenziali di accesso.

“Se si è in possesso delle credenziali di un professore, ottenuto il Pin di accesso ci si può facilmente spacciare per lui e modificare in maniera illegittima i Registri On Line dove i professori comunicano direttamente con le famiglie degli studenti. Lo scenario più semplice da ipotizzare è che uno studente, grazie a tali credenziali, possa andare sul registro digitale e cancellare le note ricevute.” Recita l’articolo del Manifesto.

Gli hacker hanno lanciato un chiaro messaggio anche a Ministri e Parlamentari promettendo future operazioni.

“E così come voi Ministri e Parlamentari state cercando di rovinare la scuola, noi cerchiamo di rovinare voi, ma con una sola differenza! Quale? Che voi fallite sempre, noi no. Expect US!”

 

La smentita del MIUR

Proprio mentre vi scrivo arriva quindi puntuale il comunicato del MIUR che ridimensiona l’accaduto:

“In riferimento all’attacco informatico di ieri attuato dal gruppo hacker LulzSecITA e alla relativa pubblicazione di migliaia di indirizzi di posta elettronica di scuole e insegnanti, in seguito alle verifiche effettuate dagli uffici competenti del Ministero dell’Istruzione, Università e Ricerca emerge che i dati pubblicati “non sono riconducibili a componenti dei sistemi informatici del Miur, gestiti dalle società Almaviva-Fastweb e DXC-Leonardo. In particolare, non sono stati trafugati dati dai sistemi che gestiscono l’accesso alle caselle del dominio @istruzione.it”.

La nota del Ministero specifica che da un controllo effettuato sugli indirizzi @istruzione.it presenti nei dati pubblicati risulta che su 6.163 indirizzi email, 4.565 non sono attivi.
Non solo, le password pubblicate associate alle suddette email in realtà sarebbero gli “hash”, ovvero delle stringhe di lunghezza dipendente dall’algoritmo in uso che sono calcolate a partire dalla password mediante un algoritmo.

Gli hash pubblicati non sarebbero quelli realmente associati alle password degli utenti presenti negli archivi.

I possibili scenari

La situazione si complica e notevolmente e gli scenari possibili sono due:

  • I dati provengono da un’altra violazione, ma a questo punto non è chiaro quali siano i sistemi attaccati. Secondo il comunicato 4.565 su 6.163 non sono più attivi, probabile quindi che la presunta violazione di un sistema contenente dati del Ministero o di un sito esterno cui accedeva personale ministeriale sia avvenuta in passato oppure che sia stato compromesso un sistema non più aggiornato.

Ma pensando in ottica GDPR, per i dati non più attivi andrebbe verificato se è trascorso il periodo di ritenzione per questi dati.

  • I dati sono falsi, almeno per quanto concerne le password, ipotesi che ha tuttavia poco senso. Personalmente però avrei usato una tattica simile in un attacco più complesso qualora fossi stato in possesso delle mail e non delle password reali. In tal caso, fatta uscire la notizia a mezzo stampa comincerei a mandare mail di phishing ai docenti invitandoli al cambio password attraverso un sito finto che nel frattempo ho messo in piedi. A questo punto avrei ottenuto molte password associate alle mail di cui disponevo. Per questo motivo invito tutti alla massima attenzione nei prossimi giorni. Diffidate di mail non sollecitate che urgono cambio di credenziali.

 

Una cosa è certa, da maggio con l’entrata in vigore del regolamento privacy, gestire questo genere di incidenti per organizzazioni ed aziende sarà cosa ardua se non ci si è mossi per tempo.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter