«Abbiamo scoperchiato il vaso di Pandora» tuonano i cyberattivisti Anonimi. È di stamani l’annuncio dell’ultimo raid, a pochi giorni da quello condotto contro i computer della Nato. Stavolta a essere finita nel tritacarne delle vittime eccellenti sarebbe la polizia postale. Stando a quanto diffuso finora, tra abstract e anticipazioni, gli hacker avrebbero fatto “pesca a strascico” nei server del centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polpost, l’ufficio incaricato della prevenzione e della repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale.
Non si conoscono ancora le modalità dell’attacco, ma la mano è quella della LulzSecurity, i fondatori del movimento #Antisec. Insomma, questa volta gli Anonymous, con i quali Lulzsec talvolta collabora, sembrerebbero essersi limitati ad annunciare l’avvenuto colpo.
Dall’ufficio stampa della Polizia di Stato dichiarano di non sapere nulla dell’attacco. Ma nell’anteprima divulgata stamani attraverso Pastebin e rilanciata su Twitter sembra esserci di tutto. Dal materiale relativo a delicate indagini in corso alla semplice modulistica da ufficio riservata al personale. Dai rapporti confidenziali di agenti in servizio alle scansioni di documenti di identità di cittadini russi, indiani ed egiziani (non si sa a che titolo coinvolti). Persino gli schemi del server del Cnaipic, l’organigramma e l’ubicazione dei suoi uffici, e ancora diverse immagini di poliziotti al lavoro, compresa una foto di gruppo che sembra estratta da una presentazione.
Lo schema dei server del Cnaipic
Un’altra delle foto che sarebbero state ospitate sul server
Tra i carteggi più delicati diffusi finora spicca quello relativo a un’indagine internazionale condotta a seguito dell’intrusione nella rete della Bank Medici (che secondo lo stesso documento sarebbe sotto indagine dell’Fbi per riciclaggio di denaro sporco). Ma tra le altre vittime delle intrusioni oggetto d’indagine figurerebbero anche la PetroVietnam, la compagnia petrolifera vietnamita; l’azienda russa Atomstroyexport, la Gazprom, il ministero degli affari interni georgiano e la diocesi cattolica di Hong Kong.
Difficile definire per il momento quale sia l’effettiva entità del bottino razziato, anche se nella loro rivendicazione gli hacker dicono di aver smascherato il più grande abuso e sfruttamento di dati nella storia delle investigazioni informatiche a livello europeo. Probabile che nella foga di voler rivelare quelli che ritengono segreti inconfessabili, gli Anonymous abbiano fatto confusione tra vittime e aggressori, mettendo nel calderone “rivelazioni eclatanti” tanto gli indagati quanto i denuncianti. Inoltre, tra le centinaia di pagine diffuse stamani si mescolano file riservati e documenti irrilevanti scritti in almeno sei lingue differenti, tutti radunati alla bell’e meglio in un’antologia piuttosto confusionaria e raffazzonata che impedisce di farsi un’idea precisa su quello che raccontano davvero. Non si sa se le rivelazioni annunciate per i prossimi giorni riusciranno a dare un quadro più preciso di quanto sottratto, anche se, stando alle dichiarazioni su Twitter, gli Anonimi sembrano essere piuttosto convinti della veridicità delle proprie tesi.
Uno screenshot dei documenti
Alcuni dei documenti diffusi dagli hacker
Il fatto che l’attacco sia stato portato contro una delle forze di polizia che a livello mondiale conducono più strenuamente la lotta al cybercrimine, dalla pedopornografia online alle frodi bancarie passando per il terrorismo informatico, testimonia quanto si sia alzato il livello dello scontro. Sebbene Anonymous, LulzSec e cyberattivisti rifiutino l’etichetta di criminali informatici, poiché si limiterebbero a condurre quella che definiscono una battaglia per smascherare «le macchinazioni di governi e multinazionali per manipolare e nascondere informazioni», il Cnaipic è comunque identificato dagli hacktivist come uno dei principali nemici da combattere, proprio perché lavora per individuare e arrestare gli artefici delle intrusioni informatiche. E se Anonymous ribadisce che non deporrà le armi, e che gli arresti non fermeranno il movimento ma porteranno solo ad alzare la posta in gioco, è altrettanto vero che le forze dell’ordine non rallenteranno di certo la loro caccia all’hacker.
Per il momento, l’unico a fare davvero le spese di questa lotta senza esclusione di colpi tra “guardie e ladri” del web è il concetto stesso di sicurezza informatica. A bilancio di queste razzie di documenti condotte nelle ultime settimane, infatti, non si sa ancora quanti siano effettivamente i dati sensibili sottratti, chi li detenga, che uso intenda farne, chi e con quale criterio decida di renderli pubblici oppure tenerli riservati, o ancora in che mani possano finire una volta diffusi sul web. Online è finito di tutto: dagli indirizzi email di migliaia di universitari italiani alle carte di credito dei videogiocatori di Playstation, dalle presunte indagini della Postale ai file riservati dell’Alleanza Atlantica. Reperirli è facile quanto scaricare da iTunes l’ultimo successo della pop star del momento, con la differenza che per carpire i segreti svelati di questo o di quello non è nemmeno necessario pagare.
Obiettivo di LulzSecurity e dei suoi attacchi è dimostrare che il concetto attuale di sicurezza informatica fa acqua da tutte le parti: non reggono i sistemi delle multinazionali che spendono milioni di dollari per proteggere dati che vengono comunque sottratti, non reggono i sistemi delle organizzazioni governative, e non reggono nemmeno i sistemi delle forze di polizia deputate a dare la caccia agli hacker. «Non sono gli investimenti milionari in sistemi di sicurezza a fare la sicurezza – dicono – ma il buonsenso e la conoscenza». Ma può bastare il semplice affidamento al buonsenso di qualche ignoto perché si fermi un’escalation che non risparmia più nessuno, e soprattutto per consentirci di dormire sonni tranquilli?
Per approfodire: