PEC: Manna per i cracker di tutto il mondo

Massimo Penco, Presidente di “Cittadini di Internet”, ha rilasciato la seguente dichiarazione:

«Di ritorno dagli Stati Uniti ho avuto modo di scambiare alcune idee, ma più che altro sono stato sottoposto ad un vero e proprio terzo grado dagli addetti ai lavori sulla PEC italica.

Come tutti sanno, siamo invasi da SPAM e Phishing provenienti da e-mail reperite in Internet con sistemi di Harvester sempre più sofisticati. Molta colpa è degli utenti che, compilando un modulo on-line non protetto divengono preda di bande organizzate di cracker a causa della trasmissione senza l’ormai comune protocollo SSL.

Da tempo, Cittadini di Internet si occupa del problema tramite un apposito sito web: www.comunicaresicuri.com. Con esso, abbiamo stilato una sorta di decalogo relativo a cosa avviene on-line quando si digitano i dati personali dal proprio computer (vedi TABELLA ”I termini del problema”).

Il problema si aggrava ora con il sistema PEC poiché la concentrazione degli indirizzi di posta elettronica certificata di tutti i cittadini italiani in pochi server controllati da gestori univoci - o, addirittura, da un solo gestore indicato dal DPCM 06/05/09 in vigore - rende il compito dei cracker non solo più facile, ma estremamente pericoloso in ogni forma attacco sia di tipo 'goliardico' che a carattere delinquenziale.

Nell’interesse dei milioni di navigatori su Internet, ho cercato di fare un quadro sintetico di quanto sicuramente avverrà:

1) i cracker avranno una fonte di reperimento e-mail unica al mondo, in quanto “certificata” e quindi corrispondente a un titolare che è sicuramente un ente o una persona ben determinata.

2) i cracker avranno una profilazione degli individui, delle imprese e dei professionisti. Ad esempio: tutti gli avvocati iscritti negli albi professionali così come pure tutti gli altri professionisti suddivisi per categoria, oltre che le imprese e gli enti pubblici. In questo modo, potranno inviare messaggi e-mail personalizzati secondo i vari scopi che si prefiggono.

3) i cracker effettueranno furti d’identità avendo la certificazione di base fornita dal sistema PEC. Potranno quindi non solo rubare l’identità di persone, aziende, professionisti ed enti pubblici, ma rivenderanno più facilmente tali dati poiché acquisteranno più valore in quanto entità vere e certificate.

4) i cracker realizzeranno innumerevoli DoS (Denial of Service): attacco che mira a portare il funzionamento di un sistema informatico (Es: un sito web) al limite delle sue prestazioni fino al punto di impedirne l’erogazione del servizio. La limitatezza della capienza delle singole caselle PEC e la loro vulnerabilità non possono, infatti, fermare messaggi in arrivo e questo rappresenta un tiro al bersaglio interessante per tutti coloro che vogliono esercitarsi a riempire anche 1 giga di casella PEC con l’invio di una serie di e-mail con allegati di pesantezza media.

5) i cracker intensificheranno i loro attacchi di pishing: attività illegale utilizzata per ottenere l'accesso a informazioni riservate grazie a messaggi che imitano grafica e logo dei siti istituzionali per ingannare l'utente e portarlo a rivelare dati personali come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Avranno, infatti, una marcia in più dal momento che il sito web che mostreranno avrà l’indicazione di una PEC e questo metterà a proprio agio chi vi entrerà fino al punto da indurlo a cliccare sul link poiché si sente più sicuro.

6) i cracker effettueranno Spam Phishing: invio di grandi quantità di messaggi indesiderati (generalmente commerciali) attraverso qualunque medium allo scopo di frodare il destinatario conducendolo su siti web pericolosi per i loro dati personali. Con gli attuali sistemi, infatti, chi può impedire a un pirata informatico di divenire un cracker certificato (magari cracker@pec.it) e inondare tutto il sistema PEC di qualsiasi cosa?

7) i cracker simuleranno indirizzi PEC. Chi ha detto che non è possibile è qualcuno che non conosce il sistema affatto.

8) L’Art. 34 LEGGE n° 69 del 16 Giugno 2009 ha obbligato a tutta la Pubblica Amministrazione d’inserire il proprio indirizzo PEC nella “Pagina Iniziale” del sito web (obbligo non rispettato da quasi tutta la PA, vedi nostra indagine conoscitiva dove in un campione di oltre 1000 siti della PA solo 25 sono in regola con le disposizioni di legge). Mettere fuori uso e riempire una casella PEC di un a qualsiasi ASL, Comune od altro è un gioco da ragazzi per qualsiasi cracker».

I TERMINI DEL PROBLEMA

Compilare un questionario on-line su un sito web che trasmette i dati in chiaro (maggiori informazioni) poiché privo dei requisiti minimi previsti dalla legge italiana e da tutte le normative internazionali provoca: Sottrazione dei dati inseriti e il conseguente furto d’identità. Sostituzione, cancellazione, falsificazione dei dati. Vendita/Acquisto dei dati da parte di vere e proprie bande criminali, con lo scopo di farne un uso illegale. Fenomeno dello spamming, che arriva ad intasare/saturare le caselle elettroniche attraverso l’invio di messaggi di grandi dimensioni che le rendono inservibili, provocando così l’interruzione di un servizio che ormai può definirsi pubblico. Fenomeno delle telefonate indesiderate per offerte di vario genere oltre a comunicazioni indesiderate al proprio numero di fax. Ricezione massiva di posta cartacea indesiderata al proprio indirizzo di casa od ufficio. Redazione di veri e propri schedari (Sesso, età, abitudini ecc.) che, opportunamente elaborati, possono servire a organizzare truffe di ogni genere. Ricerche di mercato gratuite su milioni di utenti ignari (l'ultima segnalazione pervenutaci: http://www.desiderimagazine.it/concorsoduracellmattel/home.aspx ) Spoofing: attacco informatico dove viene impiegata la falsificazione dell'identità e l'invio di messaggi attraverso l’indirizzo di posta elettronica delle vittime. Nessuna possibilità di risalire all’autore di uno dei suddetti crimini informatici, in quanto il titolare del sito web può sempre trincerarsi dietro al fatto che chiunque, una volta compilato il modulo ed inviato on-line, ha la possibilità di appropriarsi dei dati di coloro che “ingenuamente” lo hanno compilato. Non perseguibilità obbiettiva. Essendo on-line ormai oltre 3 miliardi di individui ed organizzazioni di tutto il mondo, è impossibile individuare il colpevole che rimarrebbe comunque impunito perché il reato o l’illecito è appositamente realizzato al di fuori della giurisdizione di competenza. Fenomeni di "Crimeware server": veri e propri supermercati di dati accessibili a tutti per l'acquisto all'ingrosso a prezzi sempre bassi. Intasamento dei sistemi di Polizia delle Comunicazioni. Ci sarebbero milioni di denunce da fare ed il sistema non reggerebbe al relativo “urto”.