Siamo quasi a fine mese e a tutto oggi la sezione dei servizi web del portale di ENAC dedicata ai servizi online dell’Ente e alla speciale sezione dedicata al sostenimento dell’esame obbligatorio per la conduzione di un drone dallo scorso 1 luglio, sono ancora fuori servizio.
Il portale dell’Ente è stato ripristinato dopo un attacco di hacker, ma le sezioni che sono a contatto con il pubblico, ad esempio quella per la riscossione dei diritti, per il rilascio di attestati di pilota di APR per le operazioni NON critiche, che anche noi stesso definiamo patentino per i droni, sono tuttora offline.
Nella immagine in testa all’articolo si può notare la scritta ci scusiamo per il disagio e in effetti, se volessimo trascurare anche il disturbo creato agli addetti alla navigazione aerea tradizionale nell’espletamento delle loro pratiche amministrativo burocratiche, in effetti non è un malessere da poco.
Il regolamento europeo in prima battuta, poi sancito da quello nazionale e ribadito anche nell’ultimo emendamento del 14 luglio, non lasciano scampo a interpretazioni: dal 1 luglio fatto salvo i velivoli a pilotaggio remoto dal peso inferiore ai 250 grammi, necessitano del patentino o attestato per essere condotti in volo.
Molte persone si erano programmate per tentare la sorte dell’esame online nel mese di luglio, magari approfittando della pausa estiva. Ebbene coloro che ancora non posseggono l’attestato non potranno volare per non violare (scusate il gioco di parole) il regolamento.
Abbiamo parlato con alcuni esperti informatici che preferiscono rimanere anonimi, forse sono hacker anche loro, chiedendo quale fosse la loro ipotesi per un ritardo di quasi un mese per il ripristino di un sito web. Riportiamo qui di seguito la loro opinione.
E’ possibile che il sito di ENAC sia stato hackerato e vittima di un riscatto?
Attualmente i reparti di cybersecurity di tutte le forze di polizia nazionali e internazionali, stanno registrando attacchi informatici di vario livello destinati sia ad aziende, il caso di Garmin è solo di qualche settimana fa, e a siti istituzionali.
Quindi rispondendo alla domanda si è possibile.
E’ possibile anche che gli attaccanti, siano riusciti ad entrare nella rete locale tramite l’adescamento o email di phishing come si usa dire in gergo.
In poche parole o con un allegato ad una email o con un link ad un sito già “bucato” – già compromesso NDR – si finisce su un sito web apparentemente funzionante, con una pagina dedicata dove viene iniettato del codice malevolo sul computer del malcapitato o poco accorto utente che ci ha cliccato sopra.
Il virus trojan o ransomware, lavora in incognito, non si avvertono malfunzionamenti, anzi se ci si trova di fronte a un virus i cui obiettivi sono di carattere economico, il virus potrebbe lavorare di nascosto, anche per intere settimane.
Poi all’improvviso una bella mattina, accedendo la postazione ci si trova con una bella scritta a tutto schermo che avverte che i dati sono stati criptati e se si vogliono sbloccare occorre pagare una certa cifra in bitcoin a un indirizzo non tracciabile con i metodi tradizionali.
Se invece l’attacco è eseguito senza scopo di lucro immediato, ma solo per ottenere ulteriori informazioni o accessi di livello superiore è ancora peggio, perché il computer infettato non emette alcun segnale di malfunzionamento.
Questo è il caso di agenzie governative anche di basso livello, per esempio uffici comunali, studi legali, grosse aziende internazionali.
Si stima che gli attacchi provengano da tutto il globo e diretti a tutte le porte che si trovano aperte. Alle volte senza uno scopo preciso, come un cercatore di metalli che gironzola per la spiaggia, non sai mai cosa potrai trovare.
Quando gli attacchi sono diretti e con uno scopo, invece, c’è da preoccuparsi e la sicurezza informatica non va mai sottovalutata, nemmeno nel piccolo Small Office.
Che difese ci sono per gli utenti comuni, per le aziende o i siti istituzionali?
La prima difesa consiste nell’affidarsi a una severa politica di sicurezza aziendale, magari stilata da un team di professionisti, scegliere password sicure, cambiarle spesso, non usarle per più di un servizio eccetera.
Non è facile questo è vero, ma sarebbe come usare la stessa chiave per l’auto, per la casa, per il motorino e magari lasciarla in bella mostra e incustodita quando si va al bar o al ristorante.
Ma non è tutta colpa dell’utente, si parla tanto di software piratato, ebbene in essi spesso si nascondono trojan o ransomware che ovviamente producono gli spiacevoli risultati di cui sopra.
Particolari attenzioni vanno dedicate anche agli aggiornamenti dei sistemi operativi e non si parla solo dei computer usati in ufficio, ma anche dei tanti smartphone utilizzati dagli utenti/impiegati per accedere alle email aziendali.
Pratica da sconsigliare assolutamente!
Nelle grandi aziende, questo non è mai permesso dagli amministratori di security.
Poi è richiesta una formazione del personale, quali attenzione prendere nei confronti dei siti da visitare, anche qui molte policy di sicurezza, non prevedono che l’utente con la sua postazione possa navigare verso siti esterni. Vengono quindi installati dei firewall prima e dopo i proxy server cioè macchine “esposte”, che decidono dove permettere il traffico internet aziendale.
In tutti i casi viene sempre spiegato agli impiegati, che non si devono aprire email sospette, scritte in un italiano sgrammaticato, che mai e poi mai la propria banca richiederà i propri dati di accesso, ma questo vale per tutti i siti dei fornitori di gas, luce, acqua.
Men che meno aprire email dove vengono promessi favolose cifre da parte di milionari morti nell’Africa centrale che non sanno a chi destinare i loro fondi.
Il Covid-19 potrebbe aver introdotto un virus nei sistemi informatici?
Ovviamente un virus biologico non ha possibilità di introdursi in un sistema informatico.
La domanda è comunque interessante e pertinente. Nelle prime fasi della pandemia, specialmente durante il Lockdown, molte aziende hanno implementato il sistema denominato SmartWorking che permette agli impiegati di accedere dalla propria abitazione ai server aziendali.
Ebbene siamo a conoscenza che sopratutto nei primi mesi del telelavoro, come si definiva una volta, tantissimi dipendenti hanno utilizzato le loro risorse: i loro computer per intenderci. Probabilmente senza utilizzare una criptazione dei dati o tunnelling tramite una VPN e magari potrebbero a loro volta aver infettato i sistemi aziendali con il loro portatili.
Solo in seguito gli esperti di sicurezza informatica delle aziende con maggiori disponibilità economiche hanno fornito i dipendenti di dispositivi aziendali o hanno sottoposto i computer privati a un severo e rigoroso controllo.
Ma come si possono ripristinare i dati e perché ENAC secondo voi non lo ha ancora fatto?
Una “best practice” da usare in tutti gli ambiti, anche casalingo, è quella di effettuare backup dei propri dati con cadenze predefinite. Frequenza che varia in base alla mole di documenti trattati, del loro aggiornamento e del livello di sicurezza che si vuole ottenere.
Ipoteticamente si potrebbe parlare di un backup giornaliero, di un paio settimanali, e di uno mensile.
Molto importanti le modalità con le quali siano eseguiti e conservati tali backup.
Una scansione antivirus prima del backup è obbligatoria, sarebbe inutile conservare per mesi o anni un archivio già compromesso.
In seguito gli archivi con i backup andrebbero subito sconnessi dalla rete e allontanati fisicamente dal luogo dove risiedono i dati principali.
Questo per evitare furti dei computer o server, incendi anche non dolosi che possono capitare nella sala macchine.
Sono pratiche costose, fastidiose da eseguire, ma fondamentali come per operare poi un “disaster recovery”.
A proposito della seconda domanda, potrebbe essere che il sito chiamiamolo statico, anche se poi si appoggia certamente a uno o più database non avevesse particolari accessi remoti o backdoor.
Un ripristino da un backup sicuro, dipende dalle dimensioni dello stesso, può richiedere una o due giornate di lavoro di un team ben preparato.
La parte di accesso al pubblico, quella dei servizi web di ENAC ad esempio, o quella destinata allo svolgimento degli esami online per il conseguimento del patentino per i droni, come dite voi, è certamente quella più esposta e a rischio.
Ma valgono le stesse considerazioni sopra esposte, con un backup sicuro e pulito, in un paio di giorni si sarebbe potuto sistemare tutto.
A meno che i tecnici e i programmatori, non stiano sistemando eventuali falle per evitare che lo spiacevole evento si ripeta in futuro.
Come ci avete fatto notare anche la casella di posta elettronica certificata protocollo@pec.enac.gov.it pare essere stata compromessa.
Qui la situazione è poco chiara. Nella maggior parte dei casi i mail server delle PEC sono presso alcuni provider certificati, la cui manutenzione è affidata a professionisti che lavorano giorno e notte per difendere i dati degli utenti da loro custoditi.
Gli hacker buoni per intenderci.
Il ripristino della casella PEC è abbastanza semplice: una volta cambiata la password e controllati i dispositivi aziendali degli utenti che ne avevano accesso, si rimette in piedi tutto senza particolari problematiche.
Potrebbe essere successo altro, di cui forse è meglio non parlare.
I dati degli utenti che hanno sostenuto l’esame sono al sicuro?
Non è possibile dare una risposta certa, in tutti i casi, ci sono procedure ben precise da seguire che obbligano i responsabili di siti istituzionali o aziendali di grosse dimensioni, a dichiarare il grado di compromissione dei dati dell’utente.
Ci pare che ENAC abbia subito precisato che non ci sono state compromissioni in tal senso.
Da prove che abbiamo fatto su vostra segnalazione, abbiamo notato che dal QR-Code presente sull’attestato si possono ottenere i dati del pilota.
Quindi i dati ci sono ancora e sembrano essere custoditi su uno o altri server indipendenti da quelli utilizzati per gli esami online.
Quindi chi ha dato l’esame con esito favorevole, non dovrebbe correre il rischio di dover superare nuovamente la prova.
Qualche consiglio da dare ai dronisti circa i loro dati personali, video e foto o applicazioni per l’accesso?
Valgono le regolette sopraindicate, si aggiunga anche di dare una occhiata al sito del Garante per la Privacy, per quanto concerne i video e filmati registrati dai droni.
E se possiamo dirlo, usate poco i social network. O meglio non comunicate sempre dove andate cosa mangiate, chi frequentate. Sembrerà assurdo ma le prime indagini svolte daalle FDO o da investigatori privati, avvengono sempre senza muoversi dai propri uffici, e non servono mandati. Sono tutte informazioni gratis che gli utenti rendono pubbliche.
A cui aggiungere le acquisizioni e le disponibilità dei vari smartphone. Ma per quelli c’è poco da fare, siamo tutti nella stessa barca, noi compresi. O si usa un bel Noika 3310 e comunque la localizzazione dell’utente tramite la triangolazione delle celle telefoniche avviene ugualmente, oppure si vive nel ventunesimo secolo, sapendo di non avere segreti per nessuno.
