Sogei esclude categoricamente l’esistenza dell’attacco informatico, senza però dare una lettura alternativa alla vicenda. “Nessun attacco hacker all’Agenzia delle Entrate”. Quindi di chi sono questi dati rivendicati online? Qualcuno alzi la mano
Come segnalato nella giornata di ieri, ma di fatto vicenda ancora del tutto in divenire, il gruppo criminale informatico LockBit, ha preso di mira la nostra Agenzia delle Entrate (una mia analisi è presente anche su CyberSecurity360). Tutto questo ha chiaramente provocato un grande tsunami mediatico attorno alla vicenda e all’incidente stesso. Qui vorrei sottolineare un grande aspetto che sta sfuggendo di mano su questa vicenda, la comunicazione. È tramite quest’ultima infatti che il cittadino si forma la propria opinione, ma qui ci sono dei contraddittori che non stanno in piedi da soli.
“L’Agenzia delle Entrate non è stata attaccata”
Pubblicando una rivendicazione di attacco ransomware, minacciando inoltre la pubblicazione dei dati interni rubati durante l’attacco, LockBit dal 25 luglio ha accelerato le attenzioni sull’Agenzia delle Entrate. A questo punto SOGEI SpA che ne gestisce l’infrastruttura tecnologica, nella serata ha diramato un comunicato estremamente sicuro di sé che non lascia spazi interpretativi.
L’Agenzia delle Entrate non ha subito alcun attacco informatico. “Dagli accertamenti tecnici svolti Sogei esclude pertanto che si possa essere verificato un attacco informatico al sito dell’Agenzia delle Entrate”.
E qui si conclude il comunicato. Si, esatto finisce così, nessun “tecnicismo”, analisi approfondita e/o alternativa. Sogei dice no e stop.
Questa è sicuramente una prima carenza. Tutta la stampa italiana si è mobilitata per informare dell’incidente e la società responsabile per la sicurezza di questo ente chiude la serata dicendo “nessun attacco rilevato”. E quindi? A cosa si riferisce LockBit? Sarà il caso di allegare un’analisi a quel comunicato, una qualche giustificazione che facesse chiarezza?
Il caso dello studio professionale coinvolto
Già dalla tarda serata di ieri e nella mattinata del 26 luglio, da interviste a esperti del settore, dichiarazioni mezzo stampa ecc. si è arrivati ad avere un’alternativa all’attacco contro l’AdE. Ma non basta. L’alternativa non sembra funzionare. Spiego meglio.
Ok, questo è il tenore dei contenuti nella stampa nazionale di oggi.
L’azienda in questione, come riportato da LockBit (nel darkweb non è un mistero), sarebbe GESIS SRL. L’unico problema è che GESIS SRL sembra essere uno studio professionale, ma c’è una grande confusione con una software house specializzata in gestionali aziendali, per consulenti e commercialisti, avente lo stesso nome e diverso codice fiscale.
Ok, quindi può anche andare bene se la traccia è uno studio professionale del Nord Italia, ma siamo davvero sicuri sia andata così? Perché in questi termini, dagli screenshot riportati dalla cyber gang LockBit, sembra si sia di fronte ad una cartella (probabilmente di un server SAMBA, condivisione file in rete), all’interno della quale è contenuta una cartella GESIS (dello studio professionale?), con le varie sotto directory, una per ogni azienda cliente.
Questo genere di alberatura può essere attribuibile a qualsiasi attività: studio professionale, o anche workstation dell’Agenzia delle Entrate stessa, o qualsiasi altra entità che ha a che fare con questo gestionale o società (GESIS SRL appunto).
Nello stesso articolo si parla più avanti con dati superati già dalla giornata del 25 luglio: i 78 GB sono stati subito aumentati a 100 GB, nella giornata del 26, parlare di 78 GB corrisponde a dare un dato vecchio sulla vicenda.
Continuando con la tesi dello studio professionale, anche la localizzazione è decisamente oggetto di confusione. Una GESIS SRL ha sede a Chieti, l’altra in provincia di Monza/Brianza e probabilmente sembrano essere collegate tra loro. I clienti (società e aziende) esposti dalla cyber gang all’interno della fuga di dati, che sarebbero stati oggetto di verifica, sono per la maggior parte con sede in Lombardia. Qualcosa non quadra.
È abbastanza lampante che GESIS SRL (di Chieti) non sia lo studio professionale coinvolto nel data breach italiano, sempre più misterioso. Ci manca sicuramente una buona fetta di comunicazione, perchè tutta questa confusione?
La trasparenza risolverebbe tutto
Tutta questa analisi, non avrebbe senso di esistere se anche questo genere di incidenti venissero coperti con un certo grado di trasparenza nei confronti dei lettori e dei cittadini. Che manchi la trasparenza è evidente dal semplice fatto che emergono tutti questi dubbi anche solo per trovare un responsabile dietro un data breach. Chi l’ha subito, sa di averlo subito. Perché non farne dichiarazione non appena accaduto l’incidente? Perché cerchiamo sempre inesorabilmente di affossare tutto e nascondere la polvere, se sappiamo molto bene che tra 5 giorni, salterà di nuovo tutto fuori?
Chi ha subito questo attacco, privato o pubblico che sia, l’ha subito giorni prima che LockBit ne facesse rivendicazione pubblica. Perché aspettare sempre i criminali?
