Guerre di Rete - Se le banche dati strategiche sono un business
Guerre di Rete - Se le banche dati strategiche sono un business
I procedimenti faranno il loro corso, ma la messa in sicurezza dello SDI e di altre banche dati va fatta adesso.
Guerre di Rete - una newsletter di notizie cyber
di Carola Frediani
N.194 - 3 novembre 2024
(Comunicazioni di servizio)
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 14mila iscritti - ma molti più lettori, essendo pubblicata anche online) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione.
In più, il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito
Qui una lista con link dei nostri progetti per avere un colpo d’occhio di quello che facciamo.
→ Nel 2024 si è aggiunta Digital Conflicts, una newsletter bimensile in inglese (fatta da me e Andrea Signorelli), che per ora sarà principalmente una trasposizione della newsletter italiana, con alcune aggiunte e modifiche pensate per un pubblico internazionale (e con particolare attenzione all’Europa).
Qui leggete il primo numero.
Qui per iscriversi..
Qui invece potete scaricare gratis il primo ebook di Guerre di Rete che si intitola Generazione AI ed è dedicato agli ultimi sviluppi dell’intelligenza artificiale (uscito a settembre 2023).
Qui potete scaricare gratis il secondo ebook pubblicato, Il fronte cyber.
In questo numero:
- Se le banche dati strategiche sono un business
- Come rivedere la live sugli attacchi a Giustizia e Procure
- AI e prompt injection
- Doctorow e Bluesky
INDAGINE SUI DOSSIERAGGI
Se le banche dati strategiche sono un business
Era il 26 aprile 2021 quando a Roma, alla Direzione centrale della polizia criminale, veniva inaugurata la nuova sala C-SOC (Cyber Security Operations Center) all’interno del Servizio per il Sistema informativo interforze.
“La nuova sala operativa, una struttura d’avanguardia, si occuperà di proteggere le banche dati interforze, da eventuali malfunzionamenti o da attacchi informatici, attraverso un complesso sistema di controlli e allarmi gestiti da software e operatori specializzati nell’analisi del funzionamento dei sistemi informatici”, recitava il comunicato della polizia [grassetti miei]. “La funzione del C-SOC è quella di vigilare sulla sicurezza dei sistemi informativi presenti nella Direzione centrale della polizia criminale, affinché tutte le informazioni possedute (sui documenti, sulle persone, sui veicoli) siano adeguatamente protette; nello stesso tempo garantisce la protezione dei dati personali per evitare che questi vengano dispersi”.
Si tratta di una struttura, definita d’avanguardia, finanziata dai fondi europei, “per la prevenzione e l’intervento tempestivo sugli incidenti alle banche dati delle forze di polizia, di natura accidentale, naturale o dolosa, come gli attacchi hacker”, spiegava nel 2021 la Rivista trimestrale di perfezionamento delle forze di polizia.
Si tratta probabilmente del Fondo di Sicurezza Interno 2014-2020 (che rientra nei fondi europei per la sicurezza) attraverso il quale nel 2018 viene finanziato il progetto e realizzazione del Cyber Security Operations Center delle Banche Dati del Sistema Informativo Interforze per quasi 2 milioni di euro, stando a un documento del Ministero dell’Interno visionabile online.
“La sala operativa [del C-SOC] si trova presso la Direzione Centrale della Polizia Criminale”, scriveva AreaNetworking in una intervista del 2022 ai dirigenti, “che tra le altre attività che svolge nell’ambito delle forze anche internazionali, gestisce i sistemi informativi interforze, ossia un insieme di banche dati alimentate e consultate da tutte le forze di polizia. Tra queste banche dati vi sono: il c.d. CED Interforze, ovvero il Centro elaborazione dati del Ministero dell’Interno istituito con la Legge 121/1981, la banca dati nazionale del DNA e il sistema informativo Schengen di nuova generazione”.
Come si vede la consapevolezza della necessità di proteggere le nostre banche dati strategiche, insieme a iniziative e fondi, era presente da anni. Uno dei pilastri di queste banche dati, e dell’inchiesta della Dda di Milano (quella comunemente definita dei dossieraggi), è infatti il sistema che fa capo al CED Interforze - e che contiene l’ormai stranoto SDI, Sistema D’Indagine.
Il Centro Elaborazione Dati del Ministero dell’Interno, detto anche CED Interforze, è stato istituito dall’art. 8 della legge 1° aprile 1981, n. 121 col compito di curare la raccolta delle informazioni e di gestire la banca dati del Dipartimento di Pubblica Sicurezza. I dati raccolti sono custoditi nel cosiddetto Sistema Informativo Interforze (definito spesso anche Sistema D’Indagine o SDI, da una sua banca dati) che sono posti a disposizione delle forze di polizia.
SDI, scriveva anni fa la Rassegna dell’Arma, pubblicazione dei Carabinieri, “è un sistema chiuso, accessibile, cioè, solo da postazioni di lavoro certificate che consentono l’acquisizione delle informazioni in sede locale utilizzando una rete intranet, senza esporsi ad interazioni con la rete pubblica. L’accesso alla Banca Dati, quindi, è possibile solo a persone debitamente autorizzate in sede locale dal proprio Funzionario/Ufficiale Responsabile e previa abilitazione di un apposito profilo, diversificato a seconda delle informazioni che il personale deve conoscere, in ragione delle mansioni da svolgere”.
Come ci accedono gli operatori autorizzati? Tramite “l’inserimento di una password unica e personale”, scriveva nel 2023 la rivista specialistica Sicurezza e Giustizia, “assolutamente non cedibile a terzi, motivando altresì a sistema, il motivo tale per cui si accede in banca dati (Es, controllo durante un posto di blocco, indagini in corso, rilascio di porto d’ armi, ricerca persone, cose, autovetture, ecc.)”.
L’inchiesta di Milano
Nell’inchiesta della Dda di Milano sui presunti dossieraggi che ruotavano attorno all'agenzia di investigazioni private Equalize, l’accesso alle banche dati strategiche è centrale. Si parla delle banche dati delle Agenzie delle Entrate Punto Fisco e Serpico, la banca dati SIVA che contiene le SOS ovvero Segnalazioni Operazioni Sospette in ambito finanziario, l’ANPR, con le informazioni anagrafiche dei cittadini, la banca dati INPS, e perfino la delicatissima banca dati FSE (Fascicolo Sanitario Elettronico). Ma a fare da padrona nell’inchiesta tratteggiata nell’inchiesta milanese è proprio lo SDI o Sistema d’Indagine delle forze di polizia, cui accedono una grande quantità di operatori.
Sono proprio i dati ottenuti dallo SDI a essere alla base dei presunti “dossieraggi” realizzati dal gruppo, sostengono gli inquirenti. La via principale sembra essere il passaggio di queste informazioni da una rete di funzionari che hanno accesso al sistema e che farebbero le interrogazioni su richiesta del gruppo, dice l’accusa. Insomma, un tipico problema di insider threat, espressione con cui si indica un dipendente infedele, oppure un ex-dipendente o anche un collaboratore esterno che abbia (o abbia avuto) accesso alla rete e che usi questo accesso per sottrarre dati (o eseguire altre attività malevole). È quindi una minaccia interna alla confidenzialità dei dati che, ricordiamolo, rientra tra i rischi previsti in ambito cybersicurezza e che quindi prevede anche una serie di misure con cui monitorare e mitigare questi rischi.
Gli inquirenti descrivono anche delle altre presunte vie d’accesso più diretto a queste banche dati, ad esempio attraverso delle backdoor su un “disaster recovery” dei dati situato in un luogo diverso dalla sede di Roma del CED, e sembrano convinti di queste altre vie, ma per loro stessa ammissione su questo aspetto sembrano avere meno riscontri tecnici.
Su un elemento però insistono molto: i dati estrapolati da SDI sono centrali nell’attività di presunto dossieraggio del gruppo. Più in generale riconoscono il valore di mercato di queste informazioni per un grande numero di soggetti privati che vendono investigazioni e advisoring. Sono una miniera d’oro, per scopi privati e politici e come arma di ricatto. Ricatti che non vediamo normalmente, che non emergono sempre in scandali, che spesso si risolvono in forma di accordi privatistici ed extragiudiziali. Un fenomeno giudicato in crescita, almeno quanto la digitalizzazione della pubblica amministrazione. Si percepisce anche la frustrazione di chi indaga, nel momento in cui vede accedere una serie di soggetti sotto inchiesta alla banche dati strategiche nazionali più rapidamente di chi sta esercitando le funzioni di polizia giudiziaria.
Ogni individuo e società coinvolta nell’indagine milanese avrà modo di chiarire le proprie posizioni, e resta per tutti la presunzione di innocenza. Ma se ci astraiamo dai casi singoli e guardiamo il disegno complessivo che emerge dall’inchiesta è una rete fitta di agenzie private, investigatori, consulenti, pubblici ufficiali, ex membri di forze dell’ordine, soggetti in relazione coi servizi, che fanno delle informazioni confidenziali il loro business quotidiano.
Quanti altri casi esistono nel Paese che meriterebbero un approfondimento di indagine? E quanto possono stare le nostre banche dati strategiche ancora a rischio di essere saccheggiate per potere e denaro, per citare sempre gli inquirenti?
Sempre su questo caso segnalo:
- Come funziona Beyond, il database finito al centro dell'inchiesta sui dossier - Luca Zorloni, Wired Italia
- Agenzia per la cybersicurezza nazionale, perché se ne parla nell'inchiesta sui dossieraggi, sempre Luca Zorloni, Wired Italia
Attacchi al Ministero della Giustizia
Di questo caso, ma soprattutto della sicurezza delle nostre infrastrutture critiche, a partire dall’indagine su Miano (violazioni del ministero Giustizia e Procure) abbiamo parlato martedì scorso in questa live che potete rivedere qua.
VIDEO Youtube.
Sul tema Giustizia e digitalizzazione in generale segnalo i frequenti articoli di Claudia Morelli, Avvocato4.0, su Altalex.
AI
Come ti esfiltro i dati con una prompt injection
Funzioni di intelligenza artificiale implementate su strumenti aziendali possono avere delle vulnerabilità. I principali attacchi e alcuni casi recenti.
La scorsa settimana su Guerre di rete abbiamo pubblicato un articolo, a firma di Marco Schiaffino, che spiega in dettaglio e in modo molto chiaro anche per non specialisti il tema della sicurezza nei Large Language Model (modelli linguistici di grandi dimensioni), e in particolare il concetto di prompt injection, cioè l'immissione di istruzioni malevole che portano il sistema di AI generativa a compiere operazioni indesiderate.
Leggi l’articolo.
SOCIAL MEDIA
Voglio sistemi federati, basta trappole
“Mi piacerebbe usare Bluesky. Hanno fatto un lavoro tecnico molto interessante sulla moderazione e sul ranking che ammiro molto, e ho molti amici che si trovano bene.
Ma non sono iscritto a Bluesky e non ho intenzione di andarci a breve. L'ho scritto nel 2023: non dedicherò mai più le mie energie alla costruzione di un pubblico su una piattaforma il cui management può interrompere a piacimento il mio rapporto con quel pubblico”.
Cory Doctorow su Pluralistic.
EVENTI
Ci vediamo il 9 novembre al Festival Biblico Tech a parlare di AI e potere.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> INFO SU GUERRE DI RETE
Guerre di Rete è un progetto di informazione sul punto di convergenza e di scontro tra cybersicurezza, sorveglianza, privacy, censura online, intelligenza artificiale, diritti umani, politica e lavoro. Nato nel 2018 come newsletter settimanale, oggi conta oltre 13.000 iscritti e da marzo 2022 ha aggiunto il sito GuerreDiRete.it.
Nell’editoriale di lancio del sito avevamo scritto dell’urgenza di fare informazione su questi temi. E di farla in una maniera specifica: approfondita e di qualità, precisa tecnicamente ma comprensibile a tutti, svincolata dal ciclo delle notizie a tamburo battente, capace di connettere i puntini, di muoversi su tempi, temi, formati non scontati.
Il progetto è del tutto no profit, completamente avulso da logiche commerciali e di profitto, e costruito sul volontariato del gruppo organizzatore (qui chi siamo).
Ha anche una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)