Quanto sono sicuri i siti dei comuni d’Italia? Se lo sono chiesto quelli di HackTips, un gruppo di hacker etici, e uno di loro, in particolare, ha scandagliato con un proprio strumento pubblicandone i risultati. La semplicità e l’utilità di questa mappa ha catturato l’attenzione del Team di Diego Piacentini, che ha definito “puntuale e utile” questa analisi, invitandoli a collaborare. È già il primo passo di un’idea formalizzata due mesi fa: collaborare dal basso per un ethical disclosure sulla sicurezza dei siti della pubblica amministrazione.
La caccia al bug sembra proprio essere un’idea seducente, invitante. È infatti una pura curiosità quella che spinto HackTips a immaginare una indagine di questo tipo. L’autore ha scaricato la lista dei comuni dal sito Istat, creato uno script per ottenere una lista veloce sulla quale far correre il software, poi ha lanciato la scansione su 7161 siti. Il risultato è stupefacente: con un processo di pochi step, sono state scansionate porte, sistemi operativi, eventuali vulnerabilità, CSM utilizzati, tipi di server. Un database a disposizione di tutti, con anche dei grafici regionali con percentuali di esattezza attorno al 90%.
.@HacktipsIT analisi puntuale, chiara e utile. Ci sentiamo? @teamdigitaleIT @AgidGov @CertPa
— Gianluca Varisco (@gvarisco) February 3, 2017
Si potrebbe davvero cominciare da qui
Scorrendo i dati si trovano statistiche che dicono tutto sullo stato attuale dei siti della pa, e di come effettivamente il progetto al primo punto del programma del Digital Team, che sarà curato in particolare da Gianluca Varisco, sia necessario e potenzialmente rivoluzionario. Qualche dato spulciando la ricerca: sui 311 host dell’Emilia Romagna, gran parte di s.o. vecchi di nove anni, 10,6% di vulnerabilità HeartBleed. Sui 361 host nel Lazio, 28,2% di vulnerabilità. Insomma, da sbizzarrirsi. Peraltro il Team di Diego Piacentini ha già parlato di un sistema di ricompense, dentro una policy di responsible disclosure nazionale tutta da scrivere e far approvare.
La situazione, come dice lo stesso hacker, «non è rosea» e ha dichiarato di voler fare lo stesso tipo di analisi tra un anno. Ma può darsi che a questo gruppo, così come ad altri hacker etici sparsi nel Paese, possa essere chiesto di intervenire molto prima per costruire una pratica condivisa di identificazione dei problemi di sicurezza nei servizi online al cittadino secondo esperienze internazionali (ad esempio Hack the Pentagon). Certamente il lavoro non mancherebbe:
Il 65% dei comuni non possiede un certificato SSL. Il 27% dei comuni con un certificato SSL è vulnerabile ad Heartbleed, grave falle scoperta 3 anni fa. Più di 200 comuni utilizzano Windows Server 2003, il cui supporto è terminato due anni fa. Più di 500 tipologie diverse di Hosting su 7000 siti: non sarebbe meglio fare un piano con un singolo fornitore?