“…Loro pensano di essere al sicuro, ma i loro siti sono pieni di debolezze. Italiani, come potete affidare i vostri dati a tali idioti? E’ uno scherzo? Cambiate password ragazzi; cambiate concetto di sicurezza, università”. E’ un messaggio inquietante quello lasciato dall’hacker, o dagli hacker, che pochi giorni fa hanno “bucato” i database di 18 atenei italiani, fra i quali l’università di Modena e Reggio. I pirati della rete si sono impadroniti di informazioni personali di studenti e professori: nelle cartelle relative ad alcune università compaio anche numeri di cellulari di alcuni studenti ed email corredate dalle relative password. Ancora più inquietante la secondo parte del messaggio: “…Avremmo potuto rilasciare molto di piu’, avremmo potuto distruggere db e reti intere. Siete pronti per tutto questo”?.
Le università coinvolte minimizzano e assicurano: si tratta solo di informazioni generiche sulla didattica, non sono stati rubati dati rilevanti. Le cose però non stanno così secondo Pino Bruno, giornalista Rai e autori di libri di divulgazione digitale.
Come è potuta accadere una violazione tanto grave dei database delle università?
“Quando entriamo in banca siamo costretti a passare attraverso una bussola con il vetro antiproiettile, quando entriamo in gioielleria dobbiamo suonare e passare attraverso una porta blindata; proteggiamo le nostre case con allarmi, i nostri soldi li mettiamo in cassaforte. Oggi abbiamo un senso della sicurezza fisica ma chissà per quale cortocircuito culturale siamo convinti che il mondo digitale non abbia bisogno di altrettanta sicurezza”.
E’ un problema culturale?
“Senza dubbio. In questo Paese manca la cultura della sicurezza informatica. Non capire che un sito, un account, un indirizzo di posta elettronica devono essere protetti con gli stessi criteri con cui proteggiamo le nostre case, le nostre auto e i nostri denari ci espone a rischi gravissimi. Non oso immaginare cosa accadrebbe se gli hacker o peggio ancora cracker, i veri criminali della rete, assaltassero le banche dati digitali che custodiscono i nostri dati sanitari, le nostre cartelle cliniche. Andremmo incontro a gravissime violazioni della nostra privacy”.
In questo caso ad essere finite nel mirino sono state le università. Di chi è la responsabilità?
“Il problema è che le piattaforme Joomla, phpBB e WordPress installate sui server delle università violate non erano aggiornate e i responsabili della sicurezza informatica non potevano non saperlo. E’ come andare su un’auto con la spia dell’olio accesa e fregarsene. Se tu non aggiorni la piattaforma sei vulnerabile e sei consapevole di esserlo. Eppure le università italiane fanno parte del Consortium Garr, il cui “principale obiettivo è fornire connettività ad altissime prestazioni e servizi avanzati alla comunità scientifica e accademica italiana”. Evidentemente il Garr è stato snobbato e i consigli inascoltati”.
Gli hacker dichiarano di avere agito per uno scopo nobile, ovvero dimostrare la vulnerabilità dei sistemi informatici.
“C’è una differenza sostanziale tra hacker e cracker: i primi agiscono per fini dimostrativi, non sono delinquenti anche se in Italia vengono trattati come tali; i secondi al contrario sono veri e proprio criminali, che rubando dati e se ne servono per scopi illeciti. E’ da questi ultimi che dobbiamo guardarci ma se non abbiamo sistemi protetti siamo evidentemente a rischio”.
Cosa devono fare gli studenti per salvaguardare i propri dati?
“Innanzitutto non è vero che i dati rubati sono di poco conto. La password è importantissima e la violazione della casella di posta elettronica equivale alla violazione della corrispondenza e si tratta di un reato. Questi sono dati sensibili che gli atenei hanno il dovere di proteggere. Ci sono dunque tutti gli estremi per avviare cause legali e class action”.