Un'idea per Piacentini: bug hunting nei siti PA

Dalle parti del team digitale retto da Diego Piacentini sono stati e saranno giorni convulsi. Prima la notizia sulle nomine del team, con relative e scontate polemiche (che vi abbiamo risparmiato, essendo da catalogo invidia e faziosità), poi il buco al sito di 18App. Oggi, ovviamente, tiene banco l’esito del referendum e la subitanea richiesta del movimento cinquestelle di chiudere il team. Webnews preferisce essere propositivo e lancia un’idea: invece di chiudere, si dia alla caccia.

Quelli che suonano il corno non sono i cacciatori, dice un motto. Per capire come si potrebbe fare un bug hunting serio in questo paese dei mille siti e degli standard e competenze certificate zoppicanti, bisogna pensare a chi potrebbe mettersi in cammino. In questo momento c’è una triade: l’agenzia per l’Italia digitale si occupa di portare avanti gli standard tecnologici e l’applicazione del piano banda larga; Sogei è lo storico partner tecnologico che realizza materialmente le infrastrutture, oggi a servizio anche degli obiettivi dell’agenda digitale (18app e Carta del docente, entrambi recenti e basati sullo Spid ne sono un esempio), il Team Digitale del commissario straordinario ha poteri speciali molto focalizzati sul lato operativo ma anche su alcuni obiettivi ambiziosi da concettualizzare. In altre parole, l’Italia sul digitale ha un commissario, un’agenzia e un costruttore. Una piccola Expo digitale che potrebbe funzionare. Già, ma per fare cosa?

L’episodio, di per sé piccolo, del ragazzo che ha hackerato il sito del bonus cultura può essere un ottimo spunto: non solo il ragazzo ha comunicato e pubblicato ciò che ha scoperto anticipando a Sogei il problema che aveva individuato, dando una splendida dimostrazione dell’etica sottesa a questa definizione, ma è probabile che se molti ragazzi dello stesso talento si mettessero a fare test di quel tipo non resterebbero a bocca asciutta. La proposta che potrebbe mettere tutti d’accordo è un bug hunting lanciato e gestito dal Digital Team di Piacentini, sulla base dell’indice dei siti della pubblica amministrazione a conoscenza dell’Agid, e magari col contributo nell’atto di riparazione o in altre attività di Sogei. Sarebbe un progetto importante, ci vorrebbe del tempo, giustificherebbe il budget (31 milioni di euro) messo sul team da qui alla primavera 2018 e sarebbe anche inclusivo.

 

Roberto Scano, che collabora con Agid sui temi dell’accessibilità e competenze digitali, alla domanda su quanti bug si troverebbero fa un solo esempio:

Qualche giorno fa il sito di un istituto tecnico su dominio Gov rimandava a una pubblicità dell’est europa. Va detto subito: le vulnerabilità sono inevitabili, tutto è tecnicamente vulnerabile perciò Sogei non deve rammaricarsi troppo, può succedere. Più generalmente, al di là di questo caso, i siti web della pubblica amministrazione, come quelli privati, sono considerati come delle opere finite, in cemento, invece sono come le piante, senza cura e manutenzione tendono ad essere colpiti. Dipende dai contratti di sviluppo e da molti altri fattori come password obsolete, scarsa sicurezza, magari un po’ di fretta e qualche test non fatto. Un bug hunting si potrebbe fare creando un applicativo da lanciare tramite IndicePA, e poi segnalare agli interessati le vulnerabilità trovate.

Aggiornamento del 19 dicembre: Diego Piacentini ha effettivamente accolto l’idea di Webnews portandola al punto primo della sua roadmap operativa:

1. SICUREZZA “La responsible disclosure – tra hacker etici e non”
Non esistono software “sicuri”: la sicurezza è un processo iterativo, in cui si identificano e chiudono ogni volta nuove falle. Vogliamo creare una policy che spieghi a tutti coloro che identificano un problema di sicurezza come segnalarlo in modo adeguato, tutelando gli utenti coinvolti grazie a una pronta risoluzione, e incentivare così tutti i cosiddetti “hacker etici” ad aiutarci in questo compito.

Il bug hunting a due-tre fasi

Il sempre più necessario bug hunting della costellazione di siti istituzionali potrebbe essere così composto: una prima fase con il lancio dell’applicativo (realizzato dai cervelli del digital team che si stanno assumendo in queste settimane), una seconda fase con la segnalazione dei problemi tramite Agid e un protocollo sulla tempistica per risolverli; ci potrebbe essere anche una terza fase in cui si potrebbe chiedere alla community di giovani hacker etici in Italia un contributo per scovare quelli eventualmente sfuggiti o magari contribuire a risolverli. L’agenda digitale è una prospettiva di tutti e l’accesso alla pubblica amministrazione, e conseguente trasparenza, passerà dalla sicurezza delle sue piattaforme. L’idea è questa. Un progetto così, seriamente, non si è mai fatto in Italia. Che dite, ci proviamo?

Sogei: così abbiamo affrontato l’hacking

A proposito di Sogei, la società partner si è trovata a dover gestire un “buco” nel sito più visitato dai neo maggiorenni, ma ha avuto una buona reazione e ha colto subito l’approccio positivo del ragazzo che aveva individuato il problema che consentiva, solo in via teorica, di creare infiniti voucher. Non si sarebbero potuti comunque spendere, ma era comunque un bug da risolvere, com’è stato prontamente fatto. Nessuno però ha finora raccontato il dietro le quinte di quanto successo e dopo qualche giorno è la stessa Sogei a farlo per Webnews.

Quando vi è stato comunicato che erano state trovate delle vulnerabilità al sito 18App?
Siamo stati avvisati dal CERT Nazionale, nella serata del 15 novembre.
Ci hanno contattati dopo che Luca aveva inviato loro il documento di “responsible disclosure” che mostrava qual era la vulnerabilità.

La comunicazione è avvenuta prima o dopo la pubblicazione di queste sul blog dell’hacker?
Prima. La correttezza di una segnalazione responsible consiste proprio nell’avvisare della vulnerabilità il gestore del servizio, attendere un riscontro circa la risoluzione del bug e poi pubblicare i risultati. E così è stato in questo caso, chiaro e trasparente fin dai primi contatti.

Di che tipo di vulnerabilità si tratta? Erano totalmente sconosciute a Sogei, oppure ci si stava lavorando senza farne pubblicità?
Il ciclo di sviluppo del software di Sogei comprende sistematici test di sicurezza sul codice in aderenza allo standard OWASP sia nella fase iniziale che successivamente alla messa in produzione. Qualcosa nei giri di test può sfuggire ed è per questo che apprezziamo la collaborazione di persone che segnalano con correttezza i bug presenti nel software.

Era teoricamente possibile spendere più soldi del previsto, generando infiniti voucher? Oppure al di là del bug, poi il sistema avrebbe scoperto il trucco e l’avrebbe bloccato?
No. Il tetto per ogni utente è di 500 euro e viene controllato applicativamente prima di ogni scrittura sulla base dati, mentre la creazione di buoni a nome di altri utenti sarebbe stato un fenomeno individuato dalle procedure di quadratura, parte integrante delle costanti attività di monitoraggio del contenuto del database. Tali procedure avrebbero rilevato possibili abusi ed avrebbero consentito di individuare utilizzi impropri, compreso l’autore del trucco.

Chi si è occupato materialmente della riparazione della vulnerabilità, e quanto tempo ha necessitato?
Non appena ricevuta la segnalazione le strutture di sicurezza e sviluppo software di Sogei hanno provveduto prima di tutto a verificarle.
Una volta constatato che la vulnerabilità era reale ci siamo immediatamente attivati per risolvere il problema. La nuova versione dell’applicazione è stata messa online poche ore dopo, nella notte tra il 15 ed il 16 novembre. Nei giorni successivi sono stati ri-effettuati i test di sicurezza.

In quel tempo il sito è stato fermo o è rimasto online?
Il sito 18app è rimasto attivo per evitare disservizi sia ai diciottenni sia agli esercenti per tutte le funzionalità a loro dedicate. Nel contempo sono state effettuate verifiche ricorrenti del contenuto del database per evidenziare eventuali incoerenze, effettivamente non riscontrate.
Come peraltro già detto, la nuova versione dell’applicazione è stata messa online poche ore dopo la segnalazione, nella notte tra il 15 ed il 16 novembre.

Il sito assomiglia nella sua struttura, ad altri portali collegati allo spid, ad esempio la Carta del docente, sempre fatto da voi: avete controllato anche questo altro sito basato sul medesimo funzionamento?
Tutta la “famiglia” di siti collegati a 18app è in corso di ri-verifica, al fine di escludere la presenza di vulnerabilità analoghe a quelle segnalate.