Le cose che non tornano nella storia degli hacker di Gentiloni

Il 10 novembre il Guardian pubblica uno scoop. Degli hacker hanno attaccato i sistemi di sicurezza informatica del ministero degli Esteri. “Sospetti che siano russi” scrive il quotidiano britannico. Il giorno dopo la notizia è su tutti i giornali italiani. Inserendo l’attacco in una serie di tentativi di spie russe, o al soldo del Cremlino, che starebbero tentando in questi mesi di veicolare, deviare, influenzare le campagne elettorali in paesi prossimi alle elezioni. L’Italia, ma anche Francia , Germania e Olanda. Sulla falsa riga di quanto è successo in occasione delle elezioni americane, con le email hackerate dai russi per minare la credibilità del candidato democratico Clinton a favore di quello repubblicano Donald Trump.

Cosa sappiamo di certo

• La sola cosa di cui si ha conferma è che la Farnesina ha subito una serie di attacchi hacker la scorsa primavera. I tentativi sono andati avanti per quattro mesi.
• Sui giornali italiani fonti diplomatiche hanno confermato la notizia, aggiungendo però che gli hacker non avrebbero “superato un livello criptato di firewall”. Un ulteriore livello di sicurezza previsto dal protocollo di sicurezza.
• Il presidente del Consiglio Paolo Gentiloni non ha subito spionaggi, anche perché preferirebbe usare nelle comunicazioni riservate non le email ma “solo penna e biglietti di carta”.
• Oggi tutti i quotidiani riportano il sospetto sulla Russia. Ma le fonti ufficiali del governo italiano non confermano l'ipotesi.
• Sull'attacco stanno indagando gli investigatori di Roma.

Cosa ancora non sappiamo, ma che dovremmo sapere prima di fare ipotesi

• Nessuno ad oggi sa di che tipo di attacco si è trattato. Phishing? Attacchi a singole email o si tratta di server bucati?

• Diversi funzionari del ministero sarebbero stati attaccati da un malware, ma di che tipo non è noto.

• Alcuni quotidiani, come Il Fatto, riportano che sia "simile a quello usato in altri attacchi dai russi", ma anche in questo caso non c'è conferma.
• Oggi i malware sono migliaia, e diffusi in decine di migliaia di varianti. Esiste un mercato nero di questi software, e possono essere modificati da chi li usa, rendendoli di fatto unici. Difficile attribuirne con certezza la paternità.
• Manca una ricostruzione della catena degli Ip (la "carta di identità di chi naviga in rete"). E comunque la propria posizione in rete potrebbe essere facilmente dissimulata usando dei proxy, programmi che modificano l'origine del computer che tenta di attaccare la rete.

Non conoscendo questi elementi è impossibile dire chi sia stato

Tanti, troppi dubbi per attribuire la responsabilità a qualcuno. “Sappiamo che manca la pistola fumante, è davvero troppo presto per qualsiasi valutazione” ha detto ad Agi.it Carola Frediani, giornalista esperta di sicurezza in rete. In questi casi la pistola fumante può essere solo “una ricostruzione certa della catena che è dietro l’attacco. Un indirizzo IP per esempio. O il malware stesso, che a volte è la firma di un gruppo di hacker. O meglio ancora una combinazione di simili elementi circostanziali di cui per ora si sa poco o nulla”. In questi casi non c’è né uno né l’altro.

Un caso per ora assai diverso da quello delle email dei dem USA

Al Guardian fonti vicine alla Farnesina hanno raccontato di attacchi ripetuti avvenuti in questi mesi. “Ma attacchi ce ne sono tanti, da tanti gruppi di interesse, e da anni oramai. Lo stesso gruppo di hacker russi chiamati in causa oggi, APT 28, sono quelli che hanno tentato di attaccare Farnesina e Difesa in questi anni” ricorda Frediani. Ma gli attacchi “non arrivano solo dalla Russia. In questo momento c’è un livello di allerta in Europa alto, comprensibile dopo quello che è successo negli Usa con l’hackeraggio delle email dei democratici americani”. La Cia aveva identificato persone con connessioni al Cremlino che avevano passato le migliaia di email dei democratici a WikiLeaks. Ma in questo caso della catena si ha solo l’ultimo anello, e sulle conclusioni ci sono opinioni discordanti. L’attacco in sé. Che c’è stato. Ma non si sa da parte di chi.

Cos'è il gruppo APT28 e perché in Italia già lo conosciamo

Che dietro ci sia il gruppo APT28 è solo un'ipotesi. Sono quelli che hanno attaccato le email dei democratici USA. Ma in Italia li conosciamo già.

• Dall'ottobre 2014 al maggio 2015, come aveva riportato Repubblica, erano riusciti a rubare flussi di notizie riservate dai server del ministero della Difesa.
• A febbraio 2016 era stata attribuita loro la responsabilità di un attacco senza precedenti ai sistemi di sicurezza italiani, denunciato per primo da Repubblica. Un attacco subito dal ministero della Difesa italiano, che si pensava al centro di una vasta offensiva informatica che avrebbe colpito anche altri Paesi. Lo stato maggiore della Difesa aveva allora precisato che nessun dato sensibile era stato fugato.
• A giugno 2016 invece erano riusciti ad entrare nei server dell'Aeronautica militare, gli stessi che conservano i segreti degli F35. La notizia è stata riportata sempre da Repubblica, sei mesi dopo.

Ma chi sono? APT28 è un'organizzazione di hacker russi. "I migliori hacker del paese" ricorda Repubblica. E noti da anni. Nel 2015 la società Fire Eye, azienda di cybersecurity, ne aveva rivelato le trame in un report : “APT28, una finestra nelle operazioni di spionaggio informatico della Russia”. Già da questo è evidente che la società americana aveva ottenuto informazioni affidabili sui collegamenti del gruppo di hacker con il governo di Mosca.

In grado secondo il report di attaccare anche la Casa Bianca. Non si sa molto di loro. Né il numero. Né come facciano soldi. E nemmeno se ci sia qualcuno dietro. E' apparsa nel mondo dell’hacking nel 2007 e da allora ha fatto parecchia strada mettendo a segno una serie di colpi ai danni delle istituzioni dei paesi dell'Est e della NATO. Non solo in Italia.

Ma gli hacker non sono solo russi, e i dati valgono tanti soldi

“Va ricordato che non è solo la Russia che dispone di hacker. E che hacker lavorano al servizio di stati, ma anche di aziende per cercare informazioni da riverndere” continua Frediani. “Dovremmo andarci cauti ad attribuire responsabilità, per primi noi giornalisti. L’Europa ha paura che le proprie elezioni vengano falsate con attacchi informatici, rivelazioni di informazioni riservate”, che succeda insomma quello che è successo negli Usa dove Hillary Clinton ha perso anche per la campagna repubblicana (e mediatica) seguita all’hackeraggio delle email. E non è un caso che se ne parli ora, in Italia, dove entro un anno si svolgeranno nuove elezioni, o in altri paesi dove si sospetta che gli hacker russi abbiano attaccato. Come la Francia, dove si vota ad aprile, o l’Olanda, che a marzo eleggerà il nuovo governo, ma che ha già deciso di rinunciare al voto online.

Il governo italiano scopre che abbiamo un serio problema con la sicurezza

Di attribuzione russa non parla il governo italiano. Però emerge un problema. “L’Italia scopre di non aver fatto abbastanza per la protezione dei propri sistemi. Si scopre vulnerabile, e oggi non se lo può permettere", dice Frediani. Il governo Renzi nel novembre 2015 aveva stanziato 150 milioni per la cybersecurity. Allora, nelle intenzioni del premier, avrebbe dovuto significare “Una risposta al terrore”. Oggi la partita è più ampia. E, hacker russi o meno, è di quelle in cui si gioca la natura delle istituzioni democratiche, e del diritto di voto dei cittadini.

@ArcangeloRociola

Aggiornamento del 12 febbraio 2017, ore 11,50: In una precedente versione di questo articolo si parlava di "pistola fumante" in relazione ai legami tra hacker russi e WikiLeaks. Un termine inappropriato, visto le opinioni discordanti sul rapporto Cia. Abbiamo corretto grazie alla segnalazione di Arianna Ciccone: