Spy Blog News

Storhacker. L'appellativo dato all' ex governatore del Lazio, Francesco Storace, condannato circa un mese fa, in primo grado, a un anno e sei mesi di reclusione nell' ambito del processo "Laziogate", è rimasto a sintesi di una vicenda nata a seguito di un' incursione, ritenuta illecita dal tribunale di Roma, nella banca dati dell' anagrafe del comune di Roma, necessaria alla presunta attività di spionaggio ai danni di Alternativa sociale, il cartello elettorale guidato da Alessandra Mussolini nelle regionali 2005.

Non voglio entrare nel merito della vicenda, la parte interessante di tutta la storia è che quella incursione fu "rilevata" dal personale del Ced del Comune di Roma, grazie ad una cosa normalmente presente in tutti i sistemi informatici che trattano dati sensibili: il Log o, per i non addetti ai lavori, la tracciabilità. Il Log registrò quindi che qualcuno, utilizzando una precisa logon, protetta da relativa password, con precisi privilegi, riconducibile ad una precisa identità anagrafica, aveva effettuato in data x ora y da una postazione z una serie di istanze su un preciso data base.
Questo genere di attività, sino a quel momento, erano conosciute in italia solo grazie ai film americani, "24" su tutti, dove c'è sempre il buono che prova ad accedere a dei dati riservatissimi e inevitabilmente si vede arrivare l'uomo in nero (Cia o Fbi), valigetta e tesserino, con dietro una guardia armata grossa come un armadio.
In sintesi, se un mainframe è protetto come si deve, la possibilità di una fuga incontrollata e non tracciata dei dati è quasi impossibile. Se poi i dati inseriti nel sistema vengono opportunamente criptati, l'appropriazione degli stessi non può avvenire senza "l'aiuto" di personale molto competente interno al sistema.
Se al contrario, i dati si muovono incontrollati e "in chiaro", in ambienti più aperti di un centro commerciale, anche la legge più dura e feroce nulla può contro l'impossibilità di risalire al responsabile del fatto. E se per copiare una intercettazione è sufficiente aprire una porta della stanza server, infilare una chiavetta usb e filare via indisturbati, allora di cosa stiamo parlando?
Il nostro è un paese strano, la disattenzione nella gestione delle informazioni, cartacee o digitali, e proporzionale alla teorica durezza nel colpire le violazioni. L'unica cosa che siamo riusciti a proteggere con una certa efficacia sono .... le partite di calcio.
Rendere inaccessibili le intercetttazioni e gli atti di un processo, o di qualunque documento dell'amministrazione pubblica, al personale non autorizzato, dovrebbe essere quindi il primo obiettivo da raggiungere per combattere la fuga indiscriminata delle informazioni. Come dimostra l'affare Laziogate, una volta messi al sicuro i dati, vincolati gli accessi a specifici privilegi, per punire chi sgarra sono più che sufficienti le leggi vigenti.



Certo, è un lavoro che richiede un certo tempo, è necessario chiudere o ridimensionare a “nodi” tutti i cento, duecento Ced dei vari tribunali, portare dati e procedure in un unico enorme mainframe, in un bunker lontano da tutto e da tutti (zona antisismica e inondazioni), criptare tutto, e far accedere al mainframe dai vari terminali sparsi sul territorio. Fine. Non serve altro. Il sistema peraltro risolverebbe in un sol colpo tante di quelle aberrazioni informatiche che il sistema Giustizia non potrebbe che giovarne complessivamente (load balancing, disaster recovery, anagrafe centralizzata, etc.).
Finché questo non verrà fatto, senza la certezza di identificare le precise responsabilità, non c' legge che tenga. I flussi continueranno ad uscire indisturbati, casomai per finire in...Svizzera.