Dossieraggi o semplice incompetenza?

Prima di parlare della vicenda dei dossieraggi, mi sembra lecito chiarire il mio bias: come architetto IT, principalmente nel settore delle infrastrutture di rete (disaggregate o meno) e dei cosiddeti “fabric”, parlo quotidianamente di RBAC, di accesso, di Privacy By Design, Data Owners, Data Processors, di metriche, telemetrie, sicurezza perimetrale, sicurezza per segregazione, e tutto quanto. Quindi quando leggo di dossieraggi, onestamente la mano mi corre alla pistola.

Non mi raccontate che “non so tutto” o che “non hanno detto tutto”. Quello che si e' visto e' inesorabilmente e chiaramente la prova inequivocabile che la gestione e la sicurezza di quei dati sono state dilettantistiche, sciatte e incompetenti. Non si scappa. Quello che non e' chiaro, semmai, e' il metodo di raccolta e trasmissione di quei dati.

Faccio un esempio stupido: voi lavorate per il call center di una telco. Siete quindi sottopagati e frustrati, e decidete di mandare affanculo personalmente il Presidente della Repubblica. MA non avete il suo telefono. Ma che problema c'e'? Siete degli operatori di call center, avrete accesso ai dati. Quindi cercate “Sergio Mattarella”.

Oppure avete voglia di fare due chiacchiere con Valentina Nappi. Stessa cosa, aprite la vostra console e cercate Valentina Nappi.  

Ecco, in quel momento in un altro ufficio si accende una lucetta. Alcuni nomi sono classificati come “VIP”, e quindi solo cercarli vi mette nei guai. Soltanto alcuni possono accedere ad alcuni dati, e sono normalmente impiegati ben pagati, non callcenter esterni. 

In quel caso, invece, sembra che tutti i dati siano indifferentemente accessibili se si ha un accesso qualsiasi al sistema. Non ci sono ruoli, niente RBAC. O sei dentro o non sei dentro.

Sul piano delle responsabilita', si direbbe che ci sia buio pesto. Chi era responsabile di quei dati. Di quel sistema? Chi era il Data Owner, chi erano i Data Processor? Dov'e' la documentazione di Privacy by Design, imposta dalla legge? Boh. 

Ma andiamo avanti. Per esempio, nel mondo telco, quando Valentina Nappi ha un problema e chiama il Call Center, avviene un'escalation ad un collega che puo' accedere contratti VIP. Ma questo basta al collega per accedere ai dati? No. Normalmente deve esserci un ticket aperto. Significa che quando chiamate l'helpdesk della vostra telco, automaticamente viene aperto un ticket con il vostro nome e numero di telefono. 

Quindi, per prima cosa un operatore vi identifichera' per capire che siate il cliente giusto. Nel farlo automaticamente si apre un ticket. Quando si scopre che siete Valentina Nappi, allora deve chiamare un altro collega, e gli passa anche il ticket. Il collega di ordine superiore che mette le mani sul ticket, a quel punto, e' giustificato.

(non sto dicendo che sia un sistema immune ad attacchi sul layer 8, per chi sa cosa sia, ma sto dicendo che avrebbe reso piu' difficile la cosa.)

https://en.wikipedia.org/wiki/Layer_8

Manca qualsiasi traccia delle good practices di base, e non mi interrogo nemmeno sulle best practices. Quella roba, in scienza e coscienza, non doveva succedere perche' un porcaio del genere non doveva esistere.

MA andiamo avanti. E' chiaro  in questo dossieraggio che l'accesso ai dati e' uniforme e non ci sono precauzioni come la criptazione. La maniera migliore di approcciare i problemi sarebbe quello di usare un vault per le chiavi di criptazione e concederne l'accesso a seconda della posizione nell' RBAC. 

L'altra e' di provvedere una Clearance, cioe' un diritto temporaneo (per la durata di un'inchiesta) alla chiave di criptazione. Non si concede, cioe', l'accesso ai dati, ma l'accesso alla chiave che li cripta. E' chiaro che i meccanismi di Clearance e di RBAC possono coesistere. 

Cosa significa? Significa che un utente che era “solo” un tenente ha potuto leggere dati su Crosetto, che oggi e' il ministro della difesa. Non c'e' stato bisogno di clearance, non era in atto alcun meccanismo di criptazione che impedisse l'accesso.

Come se non esistessero livelli di segretezza. Chiunque sia mai riuscito a corrompere un tenente di qualsiasi forza armata, forestali compresi, poteva scaricarsi l'intero database. 

Potete stare certi che esista una copia di questo database a Mosca.

L'accesso ai dati non era strutturato, come se i NOS non esistessero, e un semplice tenente poteva leggere nella vita del suo ministro della difesa.

La mole di accessi e di dati acceduti, secondo quanto si legge, avrebbe da sola fatto scattare degli allarmi. Non serve outlier detection, non serve machine learning: per notare un'anomalia del genere basta un report con i KPI del sistema. Basta cioe' che qualcuno scriva, e qualcuno legga, un rapporto mensile con i primi 10 utenti per numero di accessi, i primi 10 per numero di persone impattate, e i primi 10 utenti per dati scaricati.

Niente di tutto questo e' stato fatto, come se i responsabili fossero tutto il tempo al mare.

E non si capice quale fosse la baseline di questi accessi: quanti se ne aspettavano al giorno? Centinaia? Migliaia? Milioni? Non si sa . Qual'era la baseline? Non si sa. Quindi, passano una quantita' enorme (ma nessuno lo specifica) di dati raccolti da piu' di 30.000 persone, con un traffico... che non si sa.

Nella realta', le cose non si fanno cosi', quasi tutti i sistemi di monitoraggio moderno, da Splunk a Dynatrace e altri , non fanno altro che rilevare immediatamente le anomalie nelle figure di I/O. Non fosse altro che calcolando la deviazione standard tra i valori in un certo intervallo: se cresce o se diminuisce, e' meglio dare un'occhiata.

Qui non c'era niente: il sistema ,da quanto si legge sui giornali ,  sembra essere stato completamente incustodito per anni ed anni. Quando hai bisogno di un'inchiesta per capire , dopo anni, come sia stato usato un sistema, evidentemente quel database era privo di qualsiasi governance.

Non ci vuole molto a riconoscere un mix di sciatteria ed incompetenza in tutto questo. Chi ha lavorato nel settore pubblico conosce bene questo mix. E' inutile continuare a cercare una “cupola” : il sistema era incustodito, non gestito, non monitorato, accedibile indiscriminatamente senza una strutturazione degli accessi. 

Ovviamente e' nato un mercato di questi dati. Ovviamente ci sono stati usi illegali dei dati. Ma e' una conseguenza immediata del fatto che il sistema era stato abbandonato, senza gestione, monitoraggio, amministrazione o custodia. Non poteva andare diversamente. In quelle condizioni, per esempio, 

Potete dare per scontato che i russi abbiano una copia di quel database.

Non si sa mai, che perdiate dei dati e vi serva un backup. 

In ogni caso, il problema e' semplice:

se lasci su un piatto d'argento uno dei database piu' sensibili del paese, dal valore enorme, attorno ci nasceranno commerci e abusi.

Il problema non e' il dossieraggio, il problema sono la sciatteria e l'incompetenza.

Uriel Fanelli

Il blog e' visibile dal Fediverso facendo il follow a:

@uriel@keinpfusch.net

Contatti: