L’obsolescenza di software e sistemi utilizzati nelle nostre pubbliche amministrazioni offre ancora una superficie di attacco molto ampia, che sarà sfruttata nei prossimi anni, e altri servizi saranno bloccati da episodi analoghi a quello che è avvenuto in Regione Lazio lo scorso agosto.
Il quadro è quello emerso dal monitoraggio periodico dell’uso del protocollo HTTPS e dei CMS nei portali della pubblica amministrazione, previsto dal piano triennale per l’informatica nella pubblica amministrazione nell’obiettivo OB.6.2.
Il 22 ottobre il CERT-AgID ha pubblicato i dati relativi alla seconda rilevazione effettuata per fotografare lo stato di 19.130 domini testati. Non si tratta dell’unica attività svolta dal CERT-Agid, vi sono altre interessanti informazioni sul sito come, ad esempio, l’analisi dei server della PA usando il motore di ricerca Shodan, oppure l’analisi delle 10 famiglie di malware che hanno interessato l’Italia nel primo semestre del 2021.
Il monitoraggio è un’attività essenziale per assicurare la sicurezza dei sistemi, le misure minime di sicurezza di AgID prevedono infatti l’obbligo di effettuare penetration test al fine di individuare vulnerabilità note nei sistemi della PA, ma l’attività condotta da AgID su scala nazionale offre chiavi di lettura meno dettagliate che però consentono di avere un quadro sullo stato complessivo del sistema PA Italia.
Cerchiamo di cogliere gli aspetti principali dei due report su HTTPS, CMS e server per farsi un quadro sullo stato dei servizi della PA italiana.
Cybersicurezza e privacy, così la PA italiana può vincere la partita del secolo
Nessuna PA è sola di fronte al malware
Il valore di questi dati non è solo qualitativo/quantitativo, ma anche “liberatorio” nel senso che ciascuna amministrazione può cercare di capire dove realmente si trova sapendo di non essere sola, anche se magari in una situazione critica. Troppo spesso le violazioni in cybersecurity vengono occultate o minimizzate per non rovinare l’immagine di un’organizzazione, creando un terreno fertile per gli attaccanti a causa della minimizzazione e sottovalutazione dei problemi. Purtroppo, la cultura “punitiva” in Italia è ancora molto diffusa, e gli stessi amministratori che privilegiano le funzioni di un sistema e spesso si preoccupano solo marginalmente della sua sicurezza sono i primi a condannare lo stato di sistemi che hanno contribuito a creare concentrando le risorse solo su aspetti funzionali e considerando la spesa legata alla sicurezza meno importante del resto del budget.
Qualche buona notizia in un quadro preoccupante
Un attacco informatico cerca sempre l’anello più debole di un sistema, e per gli attacchi che non sono concentrati su una particolare organizzazione/individuo è decisamente più conveniente per l’attaccante cercare sistemi facili da penetrare, o a causa di problemi di sicurezza procedurale (come, ad esempio, impiegati che sono ingannati da messaggi di posta elettronica di phishing) oppure di vulnerabilità note in sistemi non aggiornati.
Così come esistono motori di ricerca per verificare se password legate a specifici account si trovano nel dark Web, si stanno affermando servizi che monitorano servizi pubblici su Internet leggendo dati per scoprire versioni di software e sistemi operativi di server con indirizzo IP pubblico. È il caso del sito shodan.io utilizzato da CERT-Agid nell’analisi di server legati ai domini della PA così come appaiono su Indice PA.
Il rapporto del CERT-AgID sull’analisi dei dati di Shodan descrive la metodologia usata per l’analisi i cui risultati sono sicuramente interessanti. Un primo dato degno di nota è riportato nel seguente grafico che mostra la peggior vulnerabilità per IP trovata e che evidenzia come il 79% dei 62.749 indirizzi IP della PA (o quantomeno quelli individuati) non abbia vulnerabilità note. Si tratta di un numero sicuramente importante, ma i restanti 13.177 indirizzi IP che hanno almeno una vulnerabilità mostrano un quadro preoccupante, anche perché quando confrontati con i 22.842 enti accreditati su IPA si ha un’idea della dimensione del problema.
Le vulnerabilità per singolo indirizzo IP mostrano solo il livello massimo di gravità delle vulnerabilità per ciascun indirizzo analizzato. È possibile però che un server abbia più vulnerabilità coesistenti, anche se non tutte facilmente utilizzabili per condurre attacchi ai siti di un’organizzazione.
Il secondo grafico mostra come sono effettivamente ripartite le vulnerabilità trovate tra i vari livelli di severità e quindi di rischio. Come è lecito aspettarsi vi sono più vulnerabilità per sistema e i tre quarti hanno un livello di rischio medio.
Se le vulnerabilità critiche o a rischio elevato spesso consentono l’esecuzione di codice dall’esterno senza particolari ausili le vulnerabilità di criticità media sono quelle che consentono a un attaccante di muoversi all’interno di una rete una volta preso il controllo di un account utente, sono quindi molto pericolose in combinazione con attacchi basati su phishing mirati a utenti di un’organizzazione.
L’anno di scoperta delle vulnerabilità rilevate consente indirettamente di misurare il livello di obsolescenza dei sistemi utilizzati dalla PA mostrando come il livello di aggiornamento dei sistemi (e i sistemi stessi) sono ancora vulnerabili a vulnerabilità scoperte a partire dal 2010. Si può quindi desumere che molti dei servizi sono ospitati su sistemi che hanno fino a 10 anni di età e senza politiche di aggiornamento dei software che evitino un’esposizione così rilevante per eventuali attaccanti.
La diffusione della virtualizzazione ha sicuramente contribuito allo sviluppo di questo scenario: l’aggiornamento di server e storage, o la migrazione nel cloud, è trasparente al sistema operativo di una macchina virtuale. L’aggiornamento dei software non è quindi più spinto dall’adeguamento tecnologico che per tanti anni ha spinto gli utenti ad aggiornare i propri sistemi.
CMS e protocollo HTTPS
Una particolare attenzione va ai Content Management Systems (CMS), ovverosia a quei sistemi che consentono di editare il contenuto di siti Web interattivamente e che sono ormai quasi sempre alla base di siti Web della pubblica amministrazione italiana. Si tratta di un aspetto essenziale da un punto di vista della sicurezza poiché i siti Web costituiscono uno dei principali punti di attacco poiché per definizione sono pubblici (anche se magari accessibili solo mediante l’uso di apposite credenziali). Il livello di aggiornamento e di robustezza rappresenta una fotografia del livello di protezione delle pubbliche amministrazioni.
Come è lecito attendersi la maggior parte dei CMS trovati dal rapporto è basato su Wordpress, seguito da Joomla e Drupal. La lista delle varie tipologie è però molto interessante poiché mostra un’ampia gamma di scelte e in alcuni casi CMS ormai obsoleti.
È il livello di aggiornamento di questi software che però desta maggior preoccupazione, tra la prima e la seconda rilevazione di AgID si osserva un peggioramento della situazione in soli 10 mesi:
È sicuramente complesso per un’organizzazione assicurare l’aggiornamento di tutti i siti in uso, anche perché spesso lo sviluppo segue percorsi orientati a progetto invece di perseguire una gestione più olistica del patrimonio informativo, portando a servizi non più mantenuti che però non si vogliono chiudere poiché ancora contenenti informazioni potenzialmente utili.
In ogni caso è importante monitorare lo stato dei CMS della propria organizzazione poiché si tratta spesso di software che contengono nei propri DB informazioni personali che potrebbero richiedere l’apertura di una procedura di data breach come previsto dal GDPR in caso di compromissione.
Se il CMS è importante per la sicurezza, il protocollo usato per trasferire i dati evitando fughe di dati e attacchi “man in the middle” lo è altrettanto. Negli ultimi anni si è spinto molto per privilegiare l’uso del protocollo HTTPS invece che del protocollo HTTP al fine di assicurare che i dati trasferiti siano crittografati.
La buona notizia è che la maggior parte dei siti analizzati fa uso del protocollo HTTPS, anche se la maggior parte esibisce problemi gravi di sicurezza, anche se con un miglioramento significativo tra la prima e la seconda rilevazione effettuata.
La sicurezza delle comunicazioni è sempre più importante, soprattutto per quei siti che effettuano operazioni “dispositive” su richiesta del cittadino o consentono di scaricare dati riservati. L’adeguamento del protocollo HTTPS può richiedere l’aggiornamento di un Web Server e questo può bloccare l’esecuzione di software obsoleti, rendendo quindi oneroso l’aggiornamento che viene rimandato in analogia a quanto accade per i CMS.
In conclusione
Il quadro che emerge dal monitoraggio del CERT-AgID relativamente allo stato di salute dei sistemi della pubblica amministrazione italiana è preoccupante e la superficie di attacco è decisamente ampia. Da un certo punto di vista questa può essere anche una buona notizia, con un oceano di sistemi attaccabili diminuisce di conseguenza la probabilità di essere attaccati ma non c’è certo da esser contenti della situazione.
Il profilo di rischio va poi considerato in un contesto più ampio, visto che la penetrazione in un sistema connesso alla rete pubblica è il primo passo per poi accedere alla rete privata di un’organizzazione e quindi poi mirare ad acquisire dati per poi effettuare un qualche ricatto come nel caso dei ransomware.
L’attività di monitoraggio è un’attività essenziale e come si vede nel caso dell’analisi di CMS e HTTPS con sole due rilevazioni è possibile avere un’idea dell’evoluzione di un sistema complesso e influenzare quindi i processi decisionali per migliorare lo stato.
Si tratta comunque di un percorso che parte dal riconoscere che ci sono dei problemi che vanno affrontati, e che nessuno ha la bacchetta magica per risolvere in breve tempo il risultato di decenni di strategie e scelte che hanno sempre trascurato gli aspetti di sicurezza.
