Buongiorno, sulla vicenda di Miano si sono spesi fiumi di inchiostro (virtuale) talvolta anche a sproposito. L'articolo di Wired riportato da Giovanni è forse il più completo che ho letto, per farmi una idea sulla vicenda. Penso che Miano sia certamente dotato di interessanti capacità tecniche usate anche a scopi non del tutto leciti (mi pare di aver letto che anche dietro il Berlusconi Market ci fosse stato lui), che gli hanno permesso di accumulare un discreto patrimonio. Tuttavia, al di là delle attività pseudo-criminose, credo che l'aspetto interessante sia la situazione descritta della controparte, la vittima.
Senza fare victim blaming, sarebbe da chiedersi se almeno le Misure Minime di sicurezza ICT per le PA siano state rispettate. Tra queste, c'è l'inventario degli assets attivi: elemento essenziale per poter mantenere il controllo di un ecosistema, soprattutto se complesso e critico come quello della Giustizia. Mi chiedo se davvero una macchina virtuale può agire indisturbata in questo ecosistema, senza essere notata. Oltre ai vari login e script all'avvio, che un XDR collegato ad un SIEM avrebbe dovuto segnalare come anomali. Non mi tranquillizza neppure l'uso di WhatsApp da parte dei magistrati, che immagino sia usato anche per scambio di informazioni sui procedimenti penali: uno strumento di IM dove basta un numero di telefono per catturare le conversazioni dove l'utenza partecipa. Mi chiedo se almeno gli smartphone dei magistrati siano in possesso delle necessarie misure di protezione (PIN, cifratura...) o se, come purtroppo mi capita ancora di vedere, senza alcuna misura di protezione in caso di furto o smarrimento. In certi momenti dell'intervista a Gratteri, persona che peraltro stimo, ho pensato all'ennesima dimostrazione di estrema ignoranza del contesto informatico contemporaneo e delle sue criticità, tendenza purtroppo abbastanza diffusa tra la popolazione. Mi chiedo se possiamo permettercelo, soprattutto in ambiti come la Giustizia (o la Sanità, tanto per citarne un altro). Per concludere, la domanda provocatoria è: Miano ha agito in modo criminale, sicuramente. E' stato tuttavia favorito da un terreno forse un po' troppo fertile dove agire? Buona giornata. MP Il giorno mer 23 ott 2024 alle ore 16:33 380° via nexa < [email protected]> ha scritto: > Buongiorno, > > immagino che abbiate almeno sentito parlare di Miano, che è riuscito a > penetrare in vari sistemi informatici tra i quali quelli di diverse > procure nazionali (gestiti dal ministero della giustizia) e le caselle > PEC di magistrati. > > Colui sul quale pare che Nicola Gratteri in persona abbia dichiarato «è > riduttivo pensare a lui come un informatico: era un mago > dell’informatica» [1]. > > Colui il quale raffinatissime inchieste giornalistiche hanno stabilito > che si nascondesse «l'ombra della Russia» [2], che «vendeva informazioni > ai russi e aveva tre milioni sul conto» [3]. > > Il mio alter ego, che /nel tempo libero/ si occupa di sicurezza > informatica, è da giorni che si chiede quali raffinatissime tecniche "da > hacker" possa aver utilizzato... e mentre attende con ansia gli atti del > processo che si svolgerà tra /qualche/ anno, si imbatte in questa /roba > da complottisti/: > > «L’ombra dei dark market dietro le spiate alla Giustizia» > https://irpimedia.irpi.eu/carmelo-miano-hacker-ministero-giustizia/ > 09.10.24, di Raffaele Angius e Simone Olivelli > > Non vi fate trarre in inganno dal titolo, le cose veramente interessanti > sono ben altre: > > --8<---------------cut here---------------start------------->8--- > > Ci sono voluti quattro anni e la collaborazione di tecnici, Forze > dell’Ordine e svariate procure per arrivare all’arresto di Carmelo > Miano, classe 2000, che almeno dalla metà del 2021 si è stabilito nei > cavedi delle infrastrutture più critiche dell’Internet nazionale. > > [...] nel 2020, quando la procura di Brescia rinviene indicazioni che > portano gli inquirenti a sospettare che l’hacker possa essere collegato > a un mercato illecito di droga e armi denominato Icarus Market. > > Suo socio, sempre secondo le indagini condotte dalla procuratrice Erica > Battaglia, è il vice-sovrintendente di polizia Ivano Impellizzeri, in > servizio a Gela. Sono indagati anche il padre di Miano, Antonino, e la > madre, Antonella Testoni. > > [...] secondo le ricostruzioni della procura, riesce a violare la rete > satellitare fornita dalla società Telespazio [...] alla flotta > aeronavale della guardia di finanza e collegata con la rete interna del > corpo. > > [...] L’8 giugno del 2023 un funzionario del Coordinamento > interdistrettuale per i sistemi informativi automatizzati (Cisia) della > procura di Palermo nota per la prima volta qualcosa di strano nel suo > computer. > > A ogni avvio viene automaticamente lanciato uno script – piccolo > programma che dà delle istruzioni al computer – che raccoglie una > moltitudine di informazioni: utenti connessi, cronologia del browser, > password salvate su Chrome e Firefox, processi in esecuzione. > > A una più attenta analisi, emerge che il piccolo software non era un > comune malware scaricato per sbaglio da un funzionario disattento, bensì > uno strumento di attacco distribuito dai sistemi centralizzati del > ministero, con sede a Napoli [...] > > È proprio dalla segnalazione del Cisia che, stando alle carte > giudiziarie, nasce l’indagine che ha portato al suo arresto. Le > informazioni raccolte dal programma informatico venivano spedite > direttamente a una cartella sotto il controllo dell’attaccante, nascosta > dentro gli stessi archivi centrali della Direzione generale per i > sistemi informatizzati (Dgsia) del ministero della Giustizia, a Napoli. > > Non solo l’hacker ha avuto accesso a computer delle procure di Palermo, > Gela, Roma e altre ancora, ma soprattutto ha stabilito la sua base nel > cuore dell’infrastruttura che risiede a Napoli e da cui vengono smistati > posta elettronica, documenti e fascicoli della massima segretezza. > > Ma questo il ministero lo sa da ben prima di giugno del 2023. > > [...] È il 26 gennaio del 2022, circa un anno e mezzo prima della > scoperta a Palermo, quando il personale del Cisia della sede di Napoli > nota per la prima volta il comportamento anomalo di un server del > ministero. > > Si tratta di una virtual machine [...] in uso alla Cassazione che si > scopre essere collegata alla macchina che gestisce accessi e credenziali > della rete ministeriale. Non avrebbe dovuto. > > Quest’ultimo è un server in capo al colosso informatico Microsoft, che > fornisce il grosso dei servizi digitali dai quali dipende il > ministero. Tra questi ci sono Teams per le videoconferenze e > comunicazioni interne, Azure e Onedrive per il cloud e Windows Server > Active Directory per la gestione di utenze, credenziali e sicurezza. > > Secondo documenti inediti che IrpiMedia ha potuto consultare, alle 10:53 > del mattino, non appena viene notato il comportamento sospetto, i > tecnici del ministero inviano una mail al personale di Microsoft e ai > funzionari che fanno da ponte con l’azienda per chiedere un > accertamento. > > La dipendenza del ministero dai sistemi della multinazionale è tale che > proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite > procedura negoziata del pacchetto di supporto premium di Microsoft > (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), > giudicandolo la migliore soluzione per garantire «un elevato livello di > sicurezza» nonché «una garanzia di problem solving su tutti gli elementi > Microsoft che costituiscono l’architettura del Sistema Giustizia». > > La risposta non si fa attendere: nel primo pomeriggio il funzionario > ministeriale rassicura i colleghi e spiega che «dalle prime analisi non > ci sono elementi circa il traffico segnalato». > > Dalla comunicazione si evince che i tecnici di Microsoft – sempre in > copia negli scambi – si sono occupati del controllo e che addirittura il > computer in uso alla Cassazione risulta «praticamente inutilizzato o > addirittura spento». Solamente due settimane dopo un nuovo sollecito > permette di acquisire l’intero contenuto del computer, che non solo non > era spento ma era anche evidentemente compromesso, come rilevano i > funzionari del ministero. > > Dall’analisi emerge che l’hacker aveva ottenuto il controllo di una > delle utenze più importanti dell’infrastruttura: dcsysop, un account con > permessi completi – detto anche “super-utente” – che gli avrebbe > assicurato la possibilità di muoversi da un computer all’altro ma anche > di creare altri utenti con privilegi speciali, «in modo da garantirsi > persistenza completa nell’infrastruttura», spiega a IrpiMedia una fonte > informata sui fatti. > > È probabile che sia proprio questa la ragione per la quale il traffico > anomalo non viene immediatamente rilevato: l’attaccante si era camuffato > da utente legittimo e perciò poteva passare inosservato. > > Tuttavia la tensione è palpabile nelle sale computer del palazzo di > Giustizia di Napoli. «Abbiamo immediatamente avuto la sensazione che la > situazione fosse seria. Quando rilevi una compromissione a livello di > sistema globale devi dare per scontato che l’attaccante può accedere a > qualunque cosa», spiega sotto garanzia di anonimato un funzionario. Era > precisamente questo il caso. > > Secondo fonti contattate da IrpiMedia, dal ministero non arriva però > nemmeno la consueta – e obbligatoria – segnalazione al Garante per la > protezione dei dati personali, che in caso di data breach dovrebbe > essere inviata entro 72 ore. > > Il ministero non ha risposto alle richieste di IrpiMedia in merito alla > gestione dell’attacco informatico e delle attività intraprese per > mitigarne l’impatto. > > Sia l’escalation tramite l’account dcsysop sia la creazione di un nuovo > utente malevolo avvengono attraverso la rete Tor, sostanzialmente > irrintracciabile e per questo comunemente inibita dai sistemi della > pubblica amministrazione. > > «È certo che il perimetro della rete fosse configurato in modo da > inibire tali accessi, pertanto l’unica spiegazione che posso darmi è che > sia stato l’hacker a creare un tunnel dall’interno verso l’esterno, con > la capacità di lasciar entrare connessioni che sfruttano le reti > anonimizzate», ipotizza il funzionario. > > Contattata da IrpiMedia, Microsoft non ha risposto a una richiesta di > commento. > > Fonti a conoscenza dell’indagine riferiscono in ogni caso di come si sia > immediatamente intervenuti per ricostruire le prime tracce > dell’hacker. Queste portano a un computer della casa circondariale di > Lecce, probabilmente utilizzato dagli avvocati per partecipare in remoto > alle udienze di convalida dei fermi; un altro bersaglio sono i computer > della procura di Brescia, dove l’intenso traffico suggerisce > un’esfiltrazione di dati. > > Finita l’analisi, nei primi mesi del 2022 si è provveduto a resettare le > password e bonificare gli apparati informatici, nel convincimento che > l’hacker fosse stato estromesso dai sistemi della giustizia. Da quel > momento infatti non si verificano più attività informatiche sospette che > possano indicare che l’hacker fosse ancora all’interno della rete. > > È questo l’inizio della prima indagine interna che svela al ministero > l’esistenza di un fantasma nelle sue infrastrutture. Uno evidentemente > diverso dai soliti a cui ci hanno abituato le pubbliche amministrazioni > italiane, troppo spesso vittime di attacchi brutali volti al pagamento > di un riscatto per restituire l’accesso ai sistemi e ai dati dei > cittadini. > > Come ha detto il procuratore capo di Napoli, Nicola Gratteri, durante la > conferenza stampa che ha dato notizia dell’arresto, Miano avrebbe potuto > «bloccare tutto il sistema Giustizia». Ma non l’ha fatto. > > Al contrario, dopo la prima scoperta l’attaccante sembra essere stato > eradicato. Ma in verità è rimasto silente e in attesa, come detto, fino > al 2023, quando la segnalazione del funzionario di Palermo riaccende il > timore che l’infezione non fosse stata debellata, ma soltanto > temporaneamente sopita. > > [...] I primi passi della scalata di Miano verso il vertice informatico > del ministero iniziano diversi anni fa. > > L’intenzione di avere accesso ai sistemi della guardia di finanza nasce > almeno nel 2020 quando, dopo una perquisizione, l’hacker cerca una via > per accedere alla rete interna delle Fiamme gialle. > > In principio sono «mail di phishing e ripetuti tentativi di > compromissione e danneggiamento», si legge nell’ordinanza di > applicazione delle misure cautelari. E l’ipotesi è che siano questi > tentativi a portare l’hacker a compromettere i sistemi satellitari di > due imbarcazioni della guardia di finanza, forniti dalla società > italiana Telespazio, e dai quali era possibile accedere alla rete > interna del corpo. > > Nel 2021, quando ormai il procedimento a carico di Impellizzeri e Miano > per il riciclaggio dei proventi ottenuti con il market illegale nel dark > web era già stato trasferito per competenza alla procura di Gela, il > bersaglio su cui l’informatico riversa la sua attenzione diventa un > altro: le infrastrutture di Tim e i suoi utenti. > > Secondo le stime della procura, tra il 4 e il 5 luglio 2021 Miano riesce > a prelevare dai sistemi di Tim i dati di 23 milioni di utenti consumer, > 2,5 milioni di utenti business e 11 milioni di utenti del sistema > antifrode della società. > > Le informazioni comprendono nome e cognome, email, codici fiscali, > indirizzi di fatturazione, password (cifrate) e, per l’ultima categoria, > addirittura le morosità. > > Per quanto possa sembrare un bersaglio fuori dai suoi interessi > specifici, un simile archivio può rivelarsi un preziosissimo strumento > per condurre nuovi attacchi. Secondo quanto scoperto dalle indagini, a > partire dai dati contenuti nei database, le prime ricerche riguardano i > funzionari di polizia giudiziaria che avevano condotto le indagini di > Brescia e, ovviamente, la pm Erica Battaglia. > > Le informazioni acquisite comprendono i dati personali e l’indirizzo di > residenza delle persone cercate. > > Pochi giorni dopo, l’11 luglio, riesce invece a ottenere le credenziali > di due tecnici di Noovle, società del gruppo Tim specializzata nel > settore del cloud per le imprese. Una delle utenze compromesse è quella > che si occupa specificamente di gestire la rete dedicata al ministero > della Giustizia. > > Grazie a quest’ultima, Miano ricerca e acquisisce 19 caselle di posta > elettronica appartenenti a personale della magistratura delle procure di > Brescia e di Gela oltre che del personale tecnico che gestisce da Napoli > l’infrastruttura della giustizia nazionale. > > Tra gli account compromessi compare anche quello della procuratrice di > Brescia Erica Battaglia, titolare sia dell’indagine che riguarda Miano e > Impellizzeri sia di quella sul Berlusconi Market. > > [...] Almeno da giugno del 2021, quando per la prima volta prende il > controllo di alcuni account del personale di Tim, Miano inizia a > scandagliare le caselle di posta elettronica certificata dedicate al > deposito e alla ricezione degli atti della procura di Brescia. > > Ne scarica undici, tra il 16 agosto e il 23 settembre. Lo stesso giorno, > in un forum su Internet frequentato principalmente da hacker e da > venditori di credenziali, viene pubblicato il fascicolo d’indagine della > procura di Brescia sul Berlusconi Market. Non si è mai scoperto chi > l’abbia pubblicato. > > --8<---------------cut here---------------end--------------->8--- > > Un'altra informazione interessante in merito allo stato della sicurezza > dei sistemi informatici degli organi dello stato la fornisce Il Post: > > --8<---------------cut here---------------start------------->8--- > > Un altro tentativo di infiltrazione riuscito riguarda la rete > satellitare di Telespazio, in cui entrò attraverso il computer di bordo > di una nave di pattuglia della Marina militare ormeggiata a Brindisi. > Dagli accertamenti sembra che il computer fosse accessibile senza > password. L’obiettivo di Miano era la rete interna della Guardia di > Finanza, che per questo servizio si serve proprio della società > Telespazio. > > --8<---------------cut here---------------end--------------->8--- > (https://www.ilpost.it/2024/10/17/carmelo-miano-hacker-procure/) > > > Ciao ciao, cybersecurity! 380° > > > > [1] > https://web.archive.org/web/20241005141759/https://www.fanpage.it/innovazione/tecnologia/carmelo-miano-la-storia-dellhacker-piu-bravo-ditalia-incastrato-a-24-anni-da-un-errore-banale/ > > [2] > https://web.archive.org/web/20241004230734/https://roma.repubblica.it/cronaca/2024/10/05/news/hacker_carmelo_miano_russia_berlusconi_market-423536713/ > > [3] > https://web.archive.org/web/20241005141701/https://roma.cityrumors.it/cronaca-roma/vendeva-informazioni-ai-russi-e-aveva-tre-milioni-sul-conto-trovato-lhacker-della-garbatella.html > > -- > 380° (Giovanni Biscuolo public alter ego) > > «Noi, incompetenti come siamo, > non abbiamo alcun titolo per suggerire alcunché» > > Disinformation flourishes because many people care deeply about injustice > but very few check the facts. Ask me about <https://stallmansupport.org>. > -- Michele Pinassi Ufficio Esercizio e tecnologie - Università degli Studi di Siena tel: 0577.(23)5000 - [email protected] PGP/GPG key fingerprint 6EC4 9905 84F5 1537 9AB6 33E7 14FC 37E5 3C24 B98E
