Attacco alla PEC

Il 14 novembre Telecom Italia Trust Technologies Srl, la Certification Authority del Gruppo TIM, ha inviato un messaggio ai suoi utenti di posta elettronica certificata (PEC) informandoli di “una possibile compromissione delle credenziali personali di accesso ai servizi PEC” a seguito di “violazioni” e invitandoli a cambiare subito la password.

Comunicazione di Trust Technologies, 14 novembre 2018
La comunicazione di Trust Technologies

Ieri Roberto Baldoni, vicedirettore del Dipartimento delle informazioni per la sicurezza con delega al cyber, ha spiegato che gli hacker hanno compromesso ben 500.000 (mezzo milione) di PEC, molte delle quali usate dalla Pubblica amministrazione. Alcuni utenti su Twitter hanno fatto notare che la settimana scorsa i lavori di molti tribunali italiani sono rimasti bloccati per un paio di giorni, è facile quindi fare il collegamento con l’attacco, visto che l’azione ha interessato – come spiega Rainews – le PEC dei tribunali, oltre che dei ministeri degli Esteri, Interno, Difesa, Economia, e Sviluppo Economico.

Durante la conferenza stampa tenuta da Baldoni è stato chiarito che la situazione ora è sotto controllo, anche se gli utenti colpiti dovranno necessariamente cambiare la password di accesso (che comunque è buona norma cambiare regolarmente a patto di usare password sicure, perché se sostituite “pippo” con “pluto” potete anche lasciar perdere l’informatica).

Nella conferenza stampa, inoltre, Baldoni si è scagliato contro le pratiche malsane della Pubblica amministrazione, che anche quando si tratta di cybersecurity spinge al ribasso, affermando “bisogna poi evitare contratti nella Pa sulla base del massimo ribasso nel campo del cyber”.

Baldoni infine ha considerato l’attacco come “non di estrema raffinatezza”, che in altre parole significa rozzo, semplice, che non sarebbe dovuto passare.

Pochissimi giorni prima il sempre attento CERT-PA aveva segnalato che era in corso una campagna di malspam contro le PEC italiane.

Nell’analisi del CERT-PA si legge che i messaggi contenevano allegati zip con al loro interno file PDF, VBS o JS. I file VBS e JS avevano il compito di scaricare malware da diverse fonti. I messaggi provenivano da caselle PEC precedentemente compromesse.

Le indagini sono in corso e non sono noti tutti dettagli, ma è ovvio che con le PEC andrebbero fatte le stesse considerazioni delle caselle di posta elettronica normali: sono vulnerabili.

Solo perché arriva un allegato via PEC non vuol dire che questo sia esente da malware. La PEC in quanto tale non tutela da attacchi informatici e gli invii da PEC non sono automaticamente sicuri e “cliccabili”. Per la posta elettronica certificata valgono le stesse regole di sicurezza che già si dovrebbero adottare, anzi forse qualcosa in più, visto il valore legale della PEC.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.