Attacco a Tiscali: il punto tra ipotesi e problemi reali

Sono passati quattro giorni dal primo allarme lanciato online (su Twitter) riguardo un possibile incidente di sicurezza che potrebbe colpire il gigante sardo delle telecomunicazioni: Tiscali SpA. Al netto di Wired Italia, che ha coperto la notizia il giorno seguente, nessuno ha ancora analizzato pubblicamente il problema. Quando dico nessuno, intendo comprendere anche Tiscali stessa, non esistono infatti al momento comunicati ufficiali di alcun tipo, sull’argomento.

Di cosa si sta parlando?

Facciamo rapidamente il punto, per chi non avesse seguito la vicenda prima su Twitter e poi su Wired. Il tutto inizia da qui:

Da questo momento in poi (la mattinata del 16 dicembre) veniamo tutti a conoscenza di ciò che sta accadendo sul forum underground ormai noto. Un attore malevolo sta vendendo online una vulnerabilità. Una grande problema di sicurezza che, se sfruttato, causa la perdita (tramite furto) di dati interni alla società in questione. Ciò che c’è in gioco, se l’annuncio è reale, è l’accesso da terze persone non autorizzate, all’interno di 55 database interni a Tiscali al cui interno si possono trovare dati utente di amministratori e dipendenti dell’azienda.

Non abbiamo dunque davanti il classico annuncio di vendita di dati esfiltrati, archiviati e pronti per essere illecitamente passati a terzi dietro compenso. Abbiamo stavolta qualcosa di diverso, se vogliamo leggermente più fine, qualora fosse appurato. La vendita infatti riguarda la vulnerabilità in sé. L’utente che si fa chiamare “Mont4na” dichiara di essere in grado, dietro compenso, di fornire tutte le istruzioni necessarie allo sfruttamento di una vulnerabilità definita SQL Injection su determinati database interni a Tiscali. In sostanza, chi contattasse questo utente privatamente e si mettesse d’accordo con lui, se il tutto non è una truffa, potrebbe avere in mano l’accesso non autorizzato a 55 database di Tiscali.

SQL injection è una vulnerabilità della sicurezza web che consente a un utente malintenzionato di interferire con le query che un’applicazione fa al suo database. In genere consente a un utente malintenzionato di visualizzare dati che normalmente non è in grado di recuperare. Ciò potrebbe includere dati appartenenti ad altri utenti o qualsiasi altro dato a cui l’applicazione stessa è in grado di accedere. In molti casi, un utente malintenzionato può modificare o eliminare questi dati, causando modifiche persistenti al contenuto o al comportamento dell’applicazione.

Personalmente sto seguendo la vicenda dal primo giorno, proprio per intercettarne eventuali sviluppi, al momento le uniche evidenze sono quelle fornite dall’annuncio dell’utente sul forum, nessun comunicato dell’azienda in merito e una serie di risposte (alla discussione che “Mont4na” ha avviato) che chiedono sample per verificare l’autenticità del prodotto in vendita. Come mi fa prontamente notare l’esperto di cyber security Pierluigi Paganini, non vedremo mai un sample per questo prodotto in vendita, proprio perché riguarda la vendita della vulnerabilità e, qualsiasi sample possa eventualmente condividere, renderebbe immediatamente individuabile il problema, e l’azienda presa di mira colmerebbe subito la carenza, correggendo la vulnerabilità, rendendo perciò inutilizzabile il prodotto oggetto della vendita.

La vicenda richiede in ogni caso una grande attenzione da parte mia e di tutta la comunità che si sta occupando del caso proprio per il silenzio che si sta creando intorno, non ultimo proprio da parte della società che parla della vicenda unicamente rispondendo a una richiesta di commento da parte di Wired sostenendo di aver allertato prontamente le autorità competenti e di non aver rilevato intrusioni nei propri sistemi.

Perché Tiscali è importante

Tiscali Spa può essere considerata un’azienda strategica del nostro Paese perché ad essa sono affidate le riqualificazioni delle linee dati del Paese, in ottica del miglioramento del servizio Internet nei vari angoli d’Italia, la banda ultralarga direttamente nelle nostre case. Nel nuovo piano strategico 2021-2024 Tiscali ha puntato grosse fette dei propri investimenti nel progetto Fibra FTTH, come punto fondamentale dell’Agenda Digitale Europea, grazie anche alle opportunità offerte dal recente PNRR (Piano Nazionale di Ripresa e Resilienza). Per fare questo già dal 2019 ha stretto partnership strategiche per il nostro paese, tra cui quella con Open Fiber SpA società partecipata al 60% da CDP Equity S.p.A. (società riconducibile al gruppo Cassa depositi e prestiti) e al 40% da Fibre Networks Holdings S.a.r.l. (società riconducibile al gruppo Macquarie). Il consorzio di taratura nazionale al quale è affidato l’importante compito di portare la fibra ottica dentro casa dei cittadini.

Altro dato strategico di Tiscali è l’accordo, risalente al maggio 2011, tra l’azienda sarda e InfoCert, il primo Ente Certificatore in Italia. L’accordo nasce proprio dall’esigenza di Tiscali di poter fornire servizi di certificazione a Pubbliche Amministrazioni ed Enti Pubblici.

Da queste poche caratteristiche capiamo quanto sia sensibile e critica la sicurezza di un’azienda di telecomunicazioni come questa (visti i collegamenti su più fronti ad ambiti statali e di pubbliche amministrazioni).

L’insicurezza intrinseca di Tiscali

Se finora, la vendita di vulnerabilità, che probabilmente non è mai ancora stata sfruttata (ammesso che esista) resta solo un’ipotesi. Altro scenario vorrei rivolgere invece all’attenzione che finora ripone Tiscali sulle buone pratiche di sicurezza informatiche. Non mi riferisco a pratiche passate o risalenti a episodi storici indietro nel tempo. Mi riferisco a segnalazioni effettuate nel 2020, mai sanate e che versano ancora oggi (20 dicembre) nella medesima situazione.

Le buone pratiche di sicurezza informatica, sono regole (spesso dettate dall’esperienza maturata, e dallo sviluppo della ricerca) basilari che chiunque abbia a che fare con la protezione di una infrastruttura critica, deve adoperare.

Una di queste pratiche, che poi è ancora una delle prime e tra le più banali, prevede che le password degli utenti non vengano mai archiviate e trattate in chiaro (cioè leggibili da chiunque così come l’utente le ha scelte). Benissimo, volete sapere come Tiscali conserva le nostre password di accesso ai nostri pannelli di amministrazione MyTiscali? Provate ad indovinare. Sì esatto, le conserva in chiaro, senza alcun offuscamento necessario per garantirne la sicurezza. Ma questo non basta. Le archivia in chiaro e le trasmette anche in chiaro via mail. Quindi questa stessa password risulterà perfettamente leggibile all’interno dei database di Tiscali e inoltre, qualora richiesta, si poggia di passaggio sul server mail, fino ad arrivare a destinazione dal richiedente, lasciando nel tragitto n copie di se stessa potenzialmente vulnerabili ed esposte su Internet.

Immagine catturata il 20 dicembre che dimostra l’invio della password in chiaro via email.

L’evidenza di ciò l’ho dimostrata io stesso, semplicemente accedendo al portale MyTiscali, fingendo di dimenticare la password del mio account, perciò avvalendomi della funzionalità di recupero password, per constatare infine il peggiore dei sentori possibili: la password è stata inviata alla mia mail come da richiesta, in chiaro, semplicemente scritta così come io l’avevo generata in fase di iscrizione al servizio. Un moderno sistema di archiviazione password prevede (deve prevedere) la generazione di un hash di codifica della password scelta dall’utente, con algoritmi non reversibili, di modo che sia impossibile per chiunque (azienda compresa) risalire alla password originale, neppure volendo. Qualora un utente ne denunciasse la dimenticanza, quest’ultimo (dopo una serie di verifiche) dovrebbe venir indirizzato alla generazione di una password nuova, che sostituirà integralmente quella vecchia, proprio perché non recuperabile.

Dunque posso concludere, almeno per ora, che al netto della vicenda sulla vendita online di vulnerabilità riguardanti l’accesso ai database di Tiscali, che la società abbia carenze infrastrutturali in campo cyber security non è una ipotesi, ma un dato di fatto: rimane infatti impensabile che nel 2021 un’azienda che lavora a stretto contatto con provider strategici della nostra PA e faccia parte di un consorzio nazionale di sviluppo tecnologico, abbia così scarsa applicazione delle più basilari regole e buone pratiche di sicurezza.