L’hacker siculo che ha “posseduto” i sistemi informatici del Ministero della Giustizia conosceva le parole chiave di accesso di 46 PM. La notizia diffusa dall’ANSA nel pomeriggio di ieri può sembrare una risposta ai misteri del libero vagabondare del pirata informatico, ma invece è solo la fonte o forse la cornucopia di tante ineludibili domande che ciascuno dovrebbe porsi.
A chi giustamente gioisce di questo primo risultato mi permetto di far presente che non siamo di fronte ad un traguardo, ma è solamente stata tracciata la linea di partenza di quella che potrebbe non essere una impegnativa corsa ad ostacoli ma una massacrante maratona. E proprio in questo quadro di sforzi atletici si vanno ad incastonare i quesiti vitali che emergono dai progressi investigativi.
Sui dispositivi elettronici e sui supporti esterni di memorizzazione sequestrati al signor Miano e analizzati dagli esperti di “computer forensic” sono state rinvenute le credenziali (account e password) di una quarantina di pubblici ministeri, tra cui quelli di Perugia, Firenze e Torino.
Al “giovanotto” viene contestato l’accesso abusivo a sistemi informatici, ma la dichiarata (almeno dal diretto interessato) circostanza che questi non fossero “protetti da misure di sicurezza” potrebbe (se dimostrato) far venir meno il reato di cui all’articolo 615 ter del codice penale per la mancanza di un requisito specifico indispensabile per quella precisa fattispecie.
Il rinvenimento delle parole chiave (che dimostra che l’hacker fosse un imbecille a lasciarle dove bravi investigatori le avrebbero trovate) offre la possibilità di inchiodare il bandito con l’articolo 615 quater che prevede e punisce la detenzione abusiva di “codici e altri mezzi atti all’accesso a sistemi informatici o telematici”, reato normalmente assorbito dal 615 ter (accesso abusivo) se si prova che il colpevole si è introdotto all’interno di reti e server con quegli strumenti.
Prima di domandarsi se le ha effettivamente utilizzate, ci si deve chiedere come quelle combinazioni, capaci di aprire le casseforti virtuali zeppe di documenti riservati e corrispondenza delicata, siano finite nella disponibilità dell’hacker.
Come ne è entrato in possesso?
Le ha forse indovinate con la romantica tecnica del “guessing”, che – disponendo di informazioni sul conto dell’utente – permette di vaticinare possibili sequenze alfanumeriche come nomi o date di ricorrenze?
Erano, quindi, talmente elementari o scontate che bastavano pochi tentativi per trovarle?
Oppure le ha trovate su Internet, magari nel deep web, su qualche sito che smercia password rubacchiate qua e là? Evitiamo qui, ma solo per ragioni di fretta a chiudere, di domandarci come quelle “chiavi” siano finite lì…
Erano forse quelle di “default”, ovvero quelle “di fabbrica” che l’utente avrebbe dovuto personalizzare al primo utilizzo?
Si tratta di password “datate” e mai cambiate per pigrizia di chi legittimamente se ne serviva?
Siccome non si può escludere la percorribilità di qualsivoglia ipotesi, azzardiamo fino a toccare l’assurdo: gliele hanno confessate gli stessi utenti oppure questi le avevano scritte a caratteri cubitali sul classico post-it appiccicato a lato del monitor?
Fermiamoci per non restare strangolati da dubbi, perplessità e divagazioni.
Vale però la pena trovare spiegazione al fatto che mai nessuno si è accorto immediatamente che Miano accedeva da località differenti da quelle abituali dei pubblici ministeri e con computer o smartphone diversi (per sistema operativo, browser, programma di posta) da quelli di ciascun utente.
A chi amministra le risorse tecnologiche va cortesemente chiesto riscontro su tante altre piccole questioni. Ad esempio, le 46 password per quanto tempo sono rimaste in esercizio? Gli utenti erano stati invitati a modificare la propria chiave di accesso? Qualcuno si era premurato di pretendere la sostituzione della password entro un termine chiaro e ben definito? Qualcun altro si è mai preoccupato di verificare che tutti rispettassero un così garbato invito?
La fragilità del processo può aver radice proprio nella poca cura di questi dettagli. Se non si vuol lasciare in libertà chi è in grado di delinquere tecnologicamente, è il caso di affrontare investigazioni e fasi del procedimento con professionalità proporzionale a quella dell’indagato.
