Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Incidente informatico all’Università di Pisa. Intervista incrociata tra RHC e Sinistra per…

L’11 di giugno, siamo venuti a conoscenza che le infrastrutture IT dell’università di Pisa erano state sottoposte ad un attacco di tipo ransomware, condotto dalla cyber gang ALPHV/BlackCat, una operazione ransomware as a Service.

RHC ha seguito fin dall’inizio l’evolversi della vicenda pubblicando una serie di articoli che poi sono stati finalizzati con la redazione della consueta “timeline”, dove sono stati riportati gli snodi principali della vicenda. Anche “Sinistra per…”, il sindacato studentesco dell’Università di Pisa ha diffuso un comunicato dove veniva riportata la pretesa da parte della componente studentesca che i loro dati fossero “PROTETTI e CRIPTATI”.

Ma l’unica cosa che è mancata in tutta questa vicenda è la comunicazione, da parte dell’Università Toscana. Infatti Sinistra per… chiedeva un comunicato stampa che spiegasse cosa stesse accadendo all’interno delle infrastrutture IT dell’Ateneo, visto che la cybergang aveva riportato che era in possesso di 10.000 record di dati personali degli studenti e aveva pubblicato diversi samples. Ma al momento nel quale scriviamo, ancora l’Università non ha riportato nulla sulla vicenda e la cyber gang ALPHV/BlackCat non ha ancora pubblicato i dati che sarebbero dovuti essere online oggi, 21/06/2022.

RHC ha ricevuto diverse richieste da parte degli studenti dell’Università di Pisa che hanno scritto alla redazione con domande relative a cosa potrebbe accadere una volta che i dati personali si sarebbero diffusi nell’underground. Ovviamente la preoccupazione è alle stelle in quanto tali dati, se diffusi, potrebbero essere utilizzati per le più disparate forme di frodi telematiche.

Advertisements

Proprio per questo RHC assieme a “Sinistra per…” hanno voluto redigere una “Intervista incrociata”, ovvero una intervista dove le domande vengono poste da entrambe le comunità, per consentire agli studenti di vederci più chiaro in questa complessa e difficile vicenda.

Le domande fatte da RHC a Sinistra Per…

RHC chiede a Sinistra per…: Salve ragazzi, e grazie di aver accettato di condurre questa “intervista incrociata”. Che aria si respira ad oggi nell’Ateneo? Nei corridoi dell’Università, che cosa si mormora relativamente a questa vicenda?
Sinistra per…: Buongiorno e grazie a tutta la redazione di RHC per averci offerto quest’opportunità.
Come componente studentesca, la situazione che stiamo vivendo è paradossale: continuiamo a leggere notizie e aggiornamenti sulla questione dalle varie testate giornalistiche, mentre l’Ateneo a noi non ha comunicato quasi nulla; tra i docenti qualche cosa in più pare filtrare, ma si tratta comunque di risposte ancora generiche e poco chiare. Per quanto il silenzio dei primi giorni possa essere anche comprensibile, col passare del tempo diventa sempre più assordante.

Avremmo sperato in un comportamento diverso da parte dell’Ateneo e della sua amministrazione, considerando che più i giorni passano più le informazioni cominciano ad esfiltrare e non paiono migliorare in nessun aspetto.

Non abbiamo ricevuto comunicazioni ufficiali né su come difenderci, né se le nostre informazioni personali siano state rubate, né su che procedure stiano avvenendo internamente all’Ateneo per rispondere ai timori e alle paure che si stanno generando.

Advertisements

RHC chiede a Sinistra per…:  Solitamente cosa fate per proteggere i vostri dati? Quali sono state le prime reazioni dell’Università appena scoperto l’attacco e quali invece le vostre? 

Sinistra per…: Come organizzazione, teniamo molto ai temi della sicurezza (informatica e non) e della protezione dei dati e della privacy – chi di noi fa parte degli organi centrali dell’Ateneo ha ben chiara la responsabilità e la cura verso le tematiche trattate e la documentazione che ci viene fornita.

Nella nostra assemblea convergono persone provenienti da ogni area dell’Ateneo, e generalmente è proprio chi ha sensibilità specifiche su certi temi che aiuta l’intera organizzazione a dotarsi degli strumenti necessari per formarsi e tutelarsi.

Per quanto ovviamente facciamo utilizzo di strumenti informatici (mailing list, chat e videochiamate), la maggior parte del nostro lavoro si basa sul dialogo faccia a faccia: per come vediamo il mondo e per quello che facciamo riteniamo che la comunicazione verbale sia il modo più sicuro e più congruo per trattare ogni genere di tematica.

Advertisements

Come componente studentesca, questa notizia ci ha scosso profondamente. Non avendo ricevuto ulteriori comunicazioni né avvertimenti da parte dell’Ateneo, abbiamo agito collettivamente facendo girare la voce e cambiando in massa le password dei nostri account istituzionali. Ci sono molte persone che non hanno ancora ben chiaro come comportarsi in tutta questa vicenda, e l’Ateneo purtroppo non ha dato indicazioni.

RHC chiede a Sinistra per…: Le università stanno diventando un top target in tutto il mondo per la loro natura decentralizzata: spesso i criminali non si fermano al riscatto ma con i dati sensibili alla mano vanno oltre. Durante il lockdown vi è stato fatto un training sull’utilizzo delle risorse condivise e sui pericoli presenti nel cyberspace? 

Sinistra per…:  Il lockdown è stata un’esperienza difficile per la comunità studentesca. Togliendo l’isolamento e i problemi personali che possono esserci stati, la comprensione degli strumenti informatici e la formazione sul loro utilizzo è stata “relegata” alla curiosità e all’esperienza della singola persona. Ciò ha creato non poche difficoltà, considerando anche che all’interno di un corso di laurea ogni corso e ogni docente ha risorse, siti web, strumenti di comunicazione diversi. Insomma, grande confusione e poca organizzazione e strutturazione del nuovo modello di didattica che è stato, purtroppo, necessario vista la situazione pandemica che tutt’oggi continua ad accompagnarci, anche se per fortuna con impatto minore.

Quindi la risposta per farla brevissima è no. Nessuna formazione, poca informazione e tutto delegato a competenze, curiosità dei singoli… e se è mancata sulla fruizione della didattica a distanza, figuriamoci su temi sensibili come i pericoli legati al cyberspace. Purtroppo all’interno dell’Università la formazione è sempre troppo settoriale (specialmente quando si parla di tutto ciò che esula un minimo dal percorso di studi vero e proprio) e l’intersezionalità tra percorsi è spesso relegata all’estro personale.

Advertisements

RHC chiede a Sinistra per…: Il cybercrime utilizza spesso mail malevole per infiltrarsi nei sistemi: raccontateci la vostra esperienza personale, Siete mai incappati in una mail phishing? E’ possibile che i criminali informatici di ALPHV si siano intrufolati all’interno dell’Università attraverso un server Exchange non correttamente aggiornato ed esposto online?

Sinistra per…:  Sì, sono arrivate mail phishing all’interno dei sistemi di Ateneo. Nulla di grave a nostro parere, spesso bastava anche solo darci un’occhiata veloce per capire che si trattasse di phishing. Tuttavia nei giorni immediatamente successivi all’attacco le mail phishing sembrano essere aumentate e, per esperienza diretta di alcuni di noi, alcune sono pure arrivate nella casella di posta principale senza finire in spam (solitamente i filtri funzionavano abbastanza bene).

La correlazione che vediamo potrebbe essere anche solo dovuta a una maggiore attenzione al tema, vista la fase che stiamo vivendo; non ci vogliamo spingere per questo a dire che l’attacco è in corso o il sistema è più compromesso di quanto già non appaia. Non crediamo veramente sia questo il caso.

Per quel che riguarda ALPHV e su dove si trovi l’errore che ha portato alla buona riuscita dell’attacco non abbiamo gli strumenti per dare risposte: l’Ateneo deve darle. Quello però che sentiamo di dirci con chiarezza è che la gestione del Sistema Informatico d’Ateneo negli ultimi anni ci è apparsa davvero poco trasparente. Spesso ci sono stati problemi di gestione e (troppo) spesso i siti web dell’Ateneo non sono stati raggiungibili per i troppi accessi in contemporanea. Limiti infrastrutturali? Sistema mal progettato? Non ci è tenuto saperlo, ma ogni anno durante le sessioni d’esami i siti web sono frequentemente non raggiungibili. 

Advertisements

Per uscire dalla nostra vita quotidiana, ed entrando nel processo più democratico dell’Ateneo, l’anno scorso durante l’elezioni studentesche, il sistema di voto durante i picchi di accesso (ora di pranzo ad esempio) andava sempre giù, era inaccessibile, e ha causato non pochi disagi a tutte le persone interessate a esercitare il proprio diritto di voto e partecipare alla vita democratica dell’Ateneo. 

RHC chiede a Sinistra per…: Nell’immaginario collettivo UniPi è un’Università all’avanguardia anche sotto l’aspetto tecnologico. Per questo motivo molti sono rimasti stupiti di fronte a questo incidente informatico. Spesso diciamo che il problema non è subire un attacco ma contenerlo e mitigarlo in modo che non ci siano conseguenze per la continuità dei servizi. In questi giorni com’è la situazione relativamente ai servizi informatici nella vostra università? Alcuni servizi risultano indisponibili?

Sinistra per…:Come detto alla risposta precedente, capita che i servizi informatici non siano raggiungibili. Non ci sono stati cambiamenti sensibili da questo punto di vista in Ateneo negli ultimi giorni (o almeno, da quel che si vede/percepisce) da quando è avvenuto l’attacco. Dobbiamo ribadire che la continuità dei servizi in Ateneo non è sempre garantita, purtroppo. I siti web sono talvolta irraggiungibili per qualche ora (eventi sporadici, ma comunque abbastanza frequenti da dirsi “è successo di nuovo” ogni qual volta capiti e da non allarmarsi più quando succede). 

RHC chiede a Sinistra per…: Tramite una nostra rubrica che ha monitorato il numero delle botnet attive all’interno della PA, avevamo riscontrato oltre 1300 feeds di botnet attive e 244 in vendita negli store riservati ai criminali informatici. Nella vs. Università è attivo un servizio di monitoraggio di queste infezioni che, solitamente, possono comportare incidenti come quello che avete subito?

Advertisements

Sinistra per…: Sappiamo che il Sistema Informatico d’Ateneo si è dotato di strumenti per la protezione e che negli ultimi anni c’è stato un sensibile investimento in termini di cybersecurity. Tuttavia non abbiamo sufficienti strumenti per rispondere con precisione a questa domanda. Servirebbe una risposta da parte dell’Ateneo.

RHC chiede a Sinistra per…: A seguito della notizia di questo attacco e del relativo possibile data breach che seguirà con la pubblicazione dei dati esfiltrati dalla Vs. Università, vi aspettate un’intervento a tutela degli studenti e di chiunque sia coinvolto nella fuga di dati da parte del Garante? Abbiamo ricevuto sui canali social delle richieste di delucidazione su una ipotetica class action da parte degli studenti. Avete intenzione di fare qualcosa di simile?

Sinistra per…: In tutta sincerità è un’opzione che stiamo vagliando. Il silenzio dell’Ateneo verso la comunità studentesca e la scarsa informazione interna ed esterna fanno aumentare la preoccupazione, e sicuramente degli strumenti di tutela, eventualmente legali, vanno presi. Purtroppo le tematiche di sicurezza e di protezione dei dati sono ancora poco compresi e ci sorprende come anche una realtà come un’Università non si sia ancora esposta pubblicamente in modo chiaro e netto per tutelare, rassicurare o aiutare le persone o gli enti che sono stati colpiti da questo attacco, sia stato causato da un problema di gestione di UniPi o sia dovuto a una vulnerabilità zero-day.

Le domande fatte da Sinistra Per… a RHC

Sinistra per chiede a RHC: A seguito dell’attacco con il comunicato che avete ripreso anche voi di RHC, abbiamo fornito alla comunità studentesca pochi e semplici consigli di sicurezza, come ad esempio il cambio della propria password ai servizi informatici d’Ateneo. C’è qualche altra best practice, anche più tecnica, che volete dare alle persone che temono di essere vittima di furto di informazioni personali (o che lo sono)?

Advertisements

RHC: I samples pubblicati dalla cybergang, riportano delle schermate in cui sono contenute delle password, anche se ancora non sappiamo a quale sistema dell’Ateneo si possa far riferimento. In questa situazione, anche se non possiamo comprendere gli impatti che potranno derivare una volta pubblicati i dati nelle underground, vale il regime di “massima allerta”.

Pertanto consigliamo di eseguire una scansione del device/computer con un buon antivirus per scongiurare la presenza di botnet/infostealer e di procedere ad un cambio password massivo di tutti gli account dell’Ateneo, impostando delle password con un minimo di 12 caratteri e che non siano predicibili/banali. 

Sinistra per chiede a RHC: Quali sono le conseguenze che ha un furto di dati sulle persone? Quali di queste potrebbero esserci nel più breve termine? 

RHC: Dobbiamo dividere i dati tra personali e di altra natura. Con le informazioni personali è possibile generare attacchi mirati di ingegneria sociale e quindi fenomeni di spear-phishing e frodi telematiche. Con i documenti di identità potrebbero essere svolti dei “furti di identità” e quindi la registrazione di account a servizi, fino ad arrivare al fenomeno del sim swapping.

Advertisements

Inoltre ci sono sempre gli account e le password che possono essere utilizzati per impersonare un profilo ed effettuare attività illecite sui sistemi. Gli altri dati invece, come bilanci e funzionamento interno dell’Università, possono essere utili per comprendere come l’Ateneo funzioni al suo interno. La speranza è che non ci siano informazioni relative a proprietà intellettuale come brevetti e ricerche (cosa che al momento non è stata pubblicata dai samples).

In tal caso queste informazioni possono essere sfruttate per accorciare la catena di ricerca e di sviluppo da parte di aziende competitor. Pertanto il nostro consiglio è di aumentare l’attenzione in tutto quello che riguarda le vostre attività online.

Sinistra per chiede a RHC: Come faccio a capire quali tra i miei dati sono a rischio? Come faccio a capire se i miei dati sono stati divulgati?

RHC: Questo tipo di attività è un’attività che si collega alla cyber intelligence, ovvero andare a cercare, in ambienti “chiusi” o “aperti” attraverso attività di OSINT/CLOSINT la diffusione delle informazioni personali nel clear web e nelle underground. Non è possibile effettuare una ricerca ad ampio raggio che ci dia la garanzia di verificare furti di identità e/o dati che non sono ancora stati resi pubblici con un’accuratezza massima.

Advertisements

Sinistra per chiede a RHC: Cosa succede se i miei dati sono stati divulgati? Cosa posso aspettarmi? Come posso prepararmi al meglio ad una eventualità simile?

RHC: Ogni dato divulgato in rete costituisce un piccolo pezzo di un puzzle utile per costruire l’identità digitale di una persona. Un pezzo di un puzzle da solo non permette di identificare l’immagine finale, ma tanti pezzi di un puzzle possono farci comprendere la figura rappresentata quale sia.

Pertanto vedete un singolo pezzo del puzzle come una singola perdita di dati (data leak/data breach) e il numero di telefono o la mail come la chiave di correlazione. Pensate ad avere molti pezzi del puzzle e quindi molti data leak/data breach di informazioni correlabili, come ad esempio un data leak di linkedin, un data breach di un’università, un data breach di un centro diagnostico, e altri di un’assicurazione e di un operatore telefonico. Sarebbero molte le informazioni “correlabili” che potrebbero permetterci di ricostruire informazioni private e personali di una persona da utilizzarle per condurre successivi attacchi mirati.

Ecco perché ogni ogni singola fuoriuscita di dati è un danno per tutta la comunità e non solo per il singolo. Come detto, avendo correlate queste informazioni è possibile effettuare frodi telematiche estremamente mirate, pertanto la possibilità che queste informazioni siano usate per profilare utenti tramite attività di social engineering è molto alta. Possiamo pensare all’utilizzo minimo di una creazione di casella di posta elettronica o di un account social a nome di uno studente, o l’impersonificazione totale a livello digitale di un utente. Ogni pezzo del puzzle è fine a se stesso, ma guardandolo assieme agli altri da un quadro più grande di osservazione che può comportare molti più rischi.

Advertisements

Sinistra per chiede a RHC: Quali azioni dovrebbero intraprendere le persone colpite per tutelarsi, oltre alla sopracitata class action? Ci sono precedenti internazionali e/o nel nostro paese a riguardo? Negli ultimi anni inoltre, si è sentito sempre più spesso parlare di diritto all’oblio: visto quello che sta accadendo, è possibile richiedere all’Ateneo la rimozione dei propri dati personali dai suoi database o qualche altra forma di tutela con o senza vie legali?

RHC: L’ideale potrebbe essere che ognuno vada in procura per un esposto proponendo una versione comune e concordata dei fatti al fine di muoversi a livello nazionale. Assolutamente non una segnalazione ma un esposto dove si citano i fatti accaduti. Relativamente al diritto all’Oblio, in una situazione di divulgazione dei dati come in questo casi, non ha più senso, in quanto le informazioni sono già state rilasciate online con tutti i problemi del caso che abbiamo analizzato in precedenza.

Occorrerebbe altresì accertarsi che sia stata mossa una segnalazione verso il Garante Privacy da parte dell’Università di Pisa come previsto dalle normative vigenti.

Relativamente al discorso Class Action, è nota quella effettuata contro Equifax a valle del databreach del 2017 quando poi venne multata per 700 milioni di dollari. In Italia non ci risultano azioni di questo tipo relativamente ad un data breach, pertanto potrebbe essere la prima in questo caso specifico.

Advertisements