Inps, la verità è che il sito è vecchio: intervista a un ex hacker
Mercoledì primo aprile, quasi fosse uno scherzo di cattivo gusto, il sito dell’Inps è andato in tilt mentre milioni di partite Iva vi si stavano connettendo per richiedere i 600 euro concessi dal Governo per l’emergenza Coronavirus. Una volta effettuato l’accesso al sito, molti utenti si sono trovati davanti dati sensibili di altri contribuenti. Il presidente dell’Istituto, Pasquale Tridico, si è giustificato dicendo che il sito da giorni è nel mirino degli hacker. Anonymous Italia, la più importante organizzazione che riunisce pirati informatici, ha smentito di esserne coinvolta. Ne abbiamo parlato con Ludovico Loreti, considerato il fondatore di Anonymous Italia. Loreti oggi non fa più parte del movimento: a causa di quella militanza nel 2013 fu messo agli arresti domiciliari e da allora ha chiuso con la pirateria. Ha solo 27 anni, ma l’esperienza di un veterano.
Loreti, cosa è successo al sito Inps?
Non lo so esattamente. Più o meno tutti i miei colleghi mi hanno detto che quello dell’Inps è un sito abbastanza vecchio. E immagino che il fatto che così tante persone si collegassero in contemporanea non fosse previsto da chi lo ha programmato.
Non può essere stato un attacco hacker?
Ho provato a guardare questa vicenda come a un attacco hacker, ma che senso avrebbe questo tipo di attacco? Perché un hacker dovrebbe voler creare quella situazione, per cui un qualsiasi cittadino entra nel sito e, anziché vedere il suo nome, vede quello di un altro? L’unica spiegazione possibile sarebbe: fare un po’ di casino. Ma non credo sia così. Poi Anonymous ha smentito.
Partita chiusa?
Può anche essere che ci sia stato un attacco, adesso ci saranno delle indagini, vedremo. Ma secondo me – e secondo la maggior parte dei miei colleghi informatici – non è così. Se io vado su un sito vecchio, che non è in grado di supportare tantissime connessioni, è ovvio che qualche problema lo deve dare.
Insomma, la colpa è del sito Inps.
Il sito sicuramente è lento. Ma, da italiano, direi agli altri italiani: ragazzi, abbiate un attimo di pazienza. E ringrazierei per i 600 euro.
Ti sei fatto una idea su quale tipo di problema possa aver creato il caos dell’altro giorno?
Secondo me c’è stata una specie di conflitto di token o qualcosa del genere: può essere che il sistema non facesse in tempo a cambiare token per il nuovo utente e tenesse quello precedente di un altro.
Fermo. Cos’è un token?
Un identificativo univoco: una stringa composta di numeri e lettere per identificare univocamente qualcosa o qualcuno a livello di programmazione. Ma non sarebbe il termine adatto per spiegare quello che, secondo me, è accaduto.
Prova a spiegarlo con altre parole allora.
Un’ipotesi potrebbe essere che, avendo troppo traffico all’interno del sito, qualcuno per sistemare in tempo reale il problema di sovraccarico, abbia attivato qualche forma di caching per aiutare il sito a non sovraccaricare ogni richiesta. E probabilmente, avendo fatto questa cosa di fretta, c’è stato un errore di configurazione: è stato messo nella memoria cache anche l’identificativo dei vari utenti, quindi chi è entrato per primo ha visto i suoi dati, ma dal secondo in poi han visto gli utenti precedenti. È un errore che può essere fatto in fase di progettazione, ma non “on-the-fly”, in tempo reale.
Poteva accadere a tutti? Stiamo parlando dell’Inps, non di una negozio di ferramenta…
Sicuramente avrebbero dovuto fare più attenzione e probabilmente il sito è stato scritto male: il fatto che io potessi vedere il profilo di un altro utente non doveva accadere, avrebbe dovuto esserci un blocco su questa cosa, anche a costo di far cadere il sito. D’altra parte, però, quello che è avvenuto è stato un evento più unico che raro: come potevano immaginare che 300 persone al secondo si collegassero in contemporanea al loro sito? Quando fai un’analisi dei rischi di un sito, è difficile prevedere cose come questa.
Tridico dovrebbe dimettersi?
No, lui è l’unico che non ha colpe. La colpa, semmai, è ai piani bassi. Tridico secondo me ha sbagliato a dire quello che ha detto, cioè che il sito era stato hackerato. Avrebbe dovuto dire: stiamo lavorando per capire come si sia creato questo problema.
Un hacker che viola il sito Inps può rubare i soldi dei contribuenti?
Non credo. Puoi vedere i soldi, ma non rubarli.
Tu come sei diventato un hacker?
Avevo la passione per l’informatica. Mi avvicinai al mondo hacker per vie traverse: giocavo con gli amici a Call of Duty, frequentavo un forum tramite il quale imparai a programmare. Pian piano vedevo cosa ero in grado di fare e mi spingevo sempre più là.
E hai portato Anonymous in Italia.
Non è esattamente così. Non c’era un canale italiano per parlare in italiano e così io lo creai. Ero solo l’amministratore del gruppo in cui parlavamo, ma non ero certo il capo: lì si è tutti allo stesso livello, c’è chi è più bravo e chi meno. Ma nessun capo.
Come andò?
Avevo 18 anni e Anonymous diceva cose che mi colpivano. Per me era un’americanata, non percepivo né il rischio né la gravità della cosa. Non avevo coscienza di ciò che stavo facendo, per me era un gioco: una sfida contro me stesso.
C’è un vostro “blitz” che ricordi in particolare?
Qualcosa in materia di diritti in difesa dell’Ambiente, ma non su siti italiani.
Nel 2013 sei finito agli arresti domiciliari.
Nel nostro gruppo c’era un infiltrato della Polizia. Mi fidavo di lui, tanto che a un certo punto gli diedi il mio numero di cellulare. Avevo 19 anni, fui ingenuo. Per lui fu sin troppo facile risalire alla mia identità. Feci sei mesi ai domiciliari. Tra l’altro all’epoca ero già uscito da Anonymous da circa un anno perché mi ero un po’ rotto…
I tuoi genitori sapevano quello che facevi?
In parte, ma non so se si rendevano conto che erano cose illegali.
Oggi che fai?
Lavoro nell’informatica come programmatore in un’azienda. Da allora non ho più hackerato: ogni tanto partecipo a qualche sfida legale online per vedere se sono un po’ arrugginito, ma vedo che ci so ancora fare… Mi piacerebbe utilizzare questa passione al contrario: proteggere siti da attacchi informatici.
Leggi anche: 1. Clamoroso: sul sito Inps pubblicati dati personali di chi chiede i 600 euro / 2. “Inps rischia una multa fino a 20 milioni di euro”: parla a TPI l’esperto di privacy Luca Bolognini
3. ESCLUSIVO TPI: Una nota riservata dell’Iss rivela che il 2 marzo era stata chiesta la chiusura di Alzano Lombardo e Nembro. Cronaca di un’epidemia annunciata / 4. Uno scudo penale per il Coronavirus: nel decreto Cura Italia spunta l’emendamento PD per sanare le responsabilità politiche
5. Gori: “Le bare di Bergamo sono solo la punta di un iceberg, i nostri morti sono quasi tre volte quelli ufficiali” / 6. Coronavirus Anno Zero, quel 23 febbraio all’ospedale di Alzano Lombardo: così Bergamo è diventata il lazzaretto d’Italia
Leggi l'articolo originale su TPI.it