Ieri pomeriggio si è riunita la commissione consigliare a palazzo Marino per chiarire le questioni inerenti la vicenda Kamasutra e conseguentemente dare conto dello stato dell’arte della sicurezza informatica del Comune di Milano.
Abbiamo partecipato come Attivazione.org con il sottoscritto presente in aula e Valerio che ha seguito il dibattito nella sala a disposizione del pubblico con tv a circuito chiuso. (un giorno faremo una nota a margine riguardo allo stato di quella sala).
La commissione era composta dall’Assessore ai Servizi Civili e Innovazione Tecnologica Giancarlo Martella (docente ordinario di sicurezza informatica presso il Dipartimento di Informatica e Comunicazione dell’ Università degli Studi di Milano), dal presidente e da due dirigenti dei sistemi informativi che avrebbero dovuto dare conto dello stato dell’arte della situazione e dei motivi del disastro occorso al Comune lo scorso febbraio.
Beh non è andata così.
Sappiamo che il virus era stato annunciato il giorno 17 gennaio, lo sapevamo già .
Sappiamo che la fantomatica (perchè mai nominata) società che si occupa della sicurezza informatica del comune ha rilasciato tempestivamente il necessario aggiornamento del sistema antivirus.
Sappiamo che il giorno 2 febbraio sono comparsi dei problemi sulla rete interna del Comune e che sono stati individuati due virus che ingeneravano questi problemi, di cui uno il terribile Kamasutra.
Sappiamo che alle 16 del 2 febbraio (la catastrofe sarebbe capitata il 3) c’era un sufficiente dettaglio della situazione, sappiamo che a quel punto captato l’estremo pericolo si è provveduto a spegnere tutti i computer del Comune di Milano.
I computer che sono stati riaccesi in piena funzionalità martedì 7 nel tardo pomeriggio un tempo infinito, nel mondo reale, non in una pubblica amministrazione amministrata così così, ci sarebbero stati gli estremi per rescindere qualsiasi tipo di contratto, compreso un patto leonino.
Notiamo che dal 17 gennaio al 2 febbraio si è aspettato che capitasse la catastrofe, è stato detto dall’assessore che in fondo, se in nove anni non è mai successo nulla, non ci si può certo lamentare. Non siamo daccordo, crediamo che un istituzione importante come il Comune di Milano meriti qualcosa di meglio.
Ma andiamo avanti con i fatti:
Sappiamo che ogni terminale del comune può connettersi alle webmail dei principali provider consentendo ai dipendenti comunali di visionare la propria posta personale. Naturalmente è buona cosa che i lavoratori possano usufruire di questa commodity, ma è altrettanto vero che questo rappresenta una porta aperta al rischio se per farlo si utilizzanno un browser che non propone aggiornamenti sostanziali da svariati anni e un sistema operativo che permette a qualche riga di codice maligno di scalare i privilegi amministrativi della macchina in uso ed disattivare le protezioni, perchè questo è quanto ci risulta avvenuto all’ interno della rete comunale. Dato che inibire certi servizi agli utenti evidentemente non costituisce una soluzione, utilizzare un sistema operativo meno esposto a tali rischi rappresenta quindi, anche per gli utenti finali, una opportunità che dovrebbe essere presa in seria considerazione.
Sappiamo che un numero imprecisato di macchine (il responsabile dei sistemi operativi non è stato in grado di dire il numero) sono obsolete, ovvero equipaggiate da software non più supportato e per questo estremamente vulnerabili. Nella fattispecie sono state indicate postazioni con sistema operativo Windows 95/98.
Sappiamo che un numero imprecisato di soggetti può accedere alla lan del comune senza di fatto alcun controllo (consulenti e fornitori, non pericolosi cracker, ma tant’è).
Sappiamo che su 7000 computer in rete ne sono stai infettati 900.
Sappiamo infine che alcuni server del Comune di Milano sono piattaforme GNU/Linux, e siamo convinti che sia una buona scelta, e lo certifica il sorpasso che i server GNU/Linux hanno effettuato sui server proprietari nel mondo. Ci è stato anche spiegato come i dirigenti dei sistemi informatici del comune di Milano, per motivi non meglio precisati, considerino le stesse piattaforme non adeguate per le postazioni degli utenti e che affermino di attenersi alle indicazioni del Ministro Stanca in materia di adozione delle piattaforme libere nella pubblica amministrazione.
Ma, considerando che questo incontro era stato convocato per chiarire in modo definitivo le questioni in oggetto, veniamo alle cose che NON sappiamo.
NON sappiamo quante sono le macchine obsolete, ovvero il responsabile di sistemi informativi a domanda precisa non è stato in grado di dire quanti incendi erano presenti sulla LAN del comune, ne esattamente su quali sistemi il virus è stato in grado di propagarsi.
NON sappiamo quanto il comune di Milano spende in licenze, anche se è stato aggiudicato un appalto per 14.000.000 di euro per le forniture informatiche che coprono 4000 macchine, comprensive di licenza ovviamente, che ad oggi ormai è omologabile al costo della macchina stessa se non superiore.
NON sappiamo ancora quale sia il motivo di una infezione così pervasiva e drammatica, ed è passato più di un mese.
Credo che non farei gestire al Comune di Milano nemmeno la rete di casa mia, che è composta da 4 computer obsoleti, che però hanno a bordo GNU/Linux e sono per questo del tutto immuni da problemi del genere.
O per meglio dire, siccome veniva correttamente ricordato che nemmeno i sistemi GNU/Linux sono immuni da virus, diciamo che se in un sistema Windows la probabilità di incorrere in un virus è omologabile a quella che un bimbo milanese in età scolare prenda l’influenza a gennaio – con buona pace del pm10 – la possibilità di incappare in un virus per Linux è omologabile a quella che lo stesso bimbo prenda la lebbra o la peste bubbonica, malattie fortunatamente debellate ormai da anni.
Abbiamo partecipato a questa commissione convinti di avere risposte poco convincenti ed in realtà non abbiamo ricevuto risposte; continuiamo a nutrire forte preoccupazione per come viene gestita la sicurezza dei dati dei cittadini, e in subordine per come vengono gestiti i soldi degli stessi.
Per fortuna abito in provincia.
01/08/2013
[...] frattempo, a proposito di Kama Sutra e Comune di Milano, segnalo la sintesi dell’audizione redatta da Lele Rozza e Valerio Ravaglia di Attivazione.org. Spero di poterne [...]