Emergono dettagli sull'attacco informatico alla Croce Rossa Italiana avvenuto a gennaio

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...io_126802.html

Sul forum underground Breach Forums, il criminale informatico responsabile del più recente attacco hacker alla Croce Rossa Italiana ha pubblicato diversi dettagli piuttosto inquietanti.

Click sul link per visualizzare la notizia.

[antroscepolo]

i 13tb sono stati esclusi...

[Saturn]

Senza nulla togliere ad eventuali negligenze, mancanze od omissioni di chi gestisce la parte IT...

...ma quanto si deve essere carogne e meschini per prendere di mira "obbiettivi simili" ?

Ospedali, laboratori di analisi, Croce Rossa...non dico che i delinquenti debbano avere un'etica e una morale...ma spero altrettanto che nel momento del bisogno possano rimanere, almeno quelli che si dedicano a queste porcherie, senza alcun tipo di assistenza medica.

[giovanni69]

Concordo con le tue osservazioni, Saturn.
E' ignobile! E l'hacker pare abbia graziato la CR ita ma ha invitato qualcun altro a... 'divertirsi'....

Possibile che la Croce Rossa Italiana non debba rispondere del modo in cui è gestita la sua rete informatica con degli stress test sulla sicurezza?

Adesso ciò che conta è vedere quanta politica coprirà l'incurante ignoranza e responsabilità dell'IT e delle policy interne.

Salterà una testa o finirà a tarallucci e vino?!

L'Agenzia per Cybersicurezza Nazionale (ACN) che esiste dal 2021 come commenta?... proprio una settimana fa ha presentato la Relazione annuale 2023 al Parlamento...

E tutto questo dopo che nel 2022... in Svizzera:
https://www.wired.it/article/croce-r...ormatico-dati/

[\_Davide_/]

Molti credono che le realtà pubbliche siano spesso prese di mira, la realtà è che sono quelle meno sicure e più facili da attaccare

[zappy]

Quote:

Originariamente inviato da Saturn

...ma quanto si deve essere carogne e meschini per prendere di mira "obbiettivi simili" ?

Ospedali, laboratori di analisi, Croce Rossa...non dico che i delinquenti debbano avere un'etica e una morale...ma spero altrettanto che nel momento del bisogno possano rimanere, almeno quelli che si dedicano a queste porcherie, senza alcun tipo di assistenza medica.

Pienamente d'accordo con te
Anche se a onor del vero ha detto di NON aver installato ransomware.

E del resto mi aspetterei che chi tratta dati sensibilissimi come la CRI e strutture similari avesse un po' più di cura per i dati... Un bel dimezzamento di stipendio per tutti, dai tecnici ai dirigenti, ci starebbe bene.

Quote:

Originariamente inviato da \_Davide_/

Molti credono che le realtà pubbliche siano spesso prese di mira, la realtà è che sono quelle meno sicure e più facili da attaccare

Il che fa doppiamente girar le balle, visto che spesso detengono i dati più sensibili e più critici per i furti di identità...

cmq da come ne parli sembra che conosci bene l'argomento... dobbiamo allertare la PolPost?

[giovanni69]

Quote:

Originariamente inviato da zappy

Un bel dimezzamento di stipendio per tutti, dai tecnici ai dirigenti, ci starebbe bene.

Serve a poco: servirebbe andare di responsabilità civile o penale per negligenza e quant'altro.
Prendi nota dei nomi della sezione IT/ ICT: nessuno che vada ad intervistarli? Tutti trincerati dietro ad un no-comment?
Vorrei vedere Striscia e le Iene andar dietro a fermare questi informatici... e dirigenti.
Non hanno mica l'immunità parlamentare...

[zappy]

Quote:

Originariamente inviato da giovanni69

Serve a poco: servirebbe andare di responsabilità civile o penale per negligenza e quant'altro.
Prendi nota dei nomi della sezione IT/ ICT: nessuno che vada ad intervistarli? Tutti trincerati dietro ad un no-comment?
Vorrei vedere Striscia e le Iene andar dietro a fermare questi informatici... e dirigenti.
Non hanno mica l'immunità parlamentare...

dubito che mediaset voglia andare ad evidenziare lo sfascio della sanità, anche dovuto ai tagli di budget (spacciati per aumenti dimenticandosi dell'inflazione...)

[e-davide9191]

Ho sbirciato sul forum dove l'hacker ha publicato il post. Ci sono screenshot di anagrafiche prese da un database, ipotizzo che siano quelle che inseriamo nel nostro (sono un volontario) portale gaia. Che danno...

[\_Davide_/]

Quote:

Originariamente inviato da zappy

cmq da come ne parli sembra che conosci bene l'argomento... dobbiamo allertare la PolPost?

Sì sì, basta vedere che alcuni portali pubblici (sia di sanità che altri) non hanno neanche un FQDN, e vi si accede direttamente su indirizzo IP (di conseguenza in chiaro, senza certificato HTTPS) e con credenziali ridicole

[giovanni69]

Quote:

Originariamente inviato da e-davide9191

Ho sbirciato sul forum dove l'hacker ha publicato il post. Ci sono screenshot di anagrafiche prese da un database, ipotizzo che siano quelle che inseriamo nel nostro (sono un volontario) portale gaia. Che danno...

Ma allora... di fronte a questa palese incompetenza nella gestione della cosa pubblica - in questo caso dati sensibili della popolazione - possibile che non salti mai nessuna testa?

Quote:

Originariamente inviato da zappy

dubito che mediaset voglia andare ad evidenziare lo sfascio della sanità, anche dovuto ai tagli di budget (spacciati per aumenti dimenticandosi dell'inflazione...)

Allora prendiamo la trasmissione Report sulla Rai... ci sono nomi e cognomi ben visibili a saper cercare sul sito della CRI. Lasciamo pure passare le elezioni che poi non si dica che si vuole inquinare il clima elettorale ma degli stress test da parte della suddetta agenzia sarebbero doverosi.

[zappy]

Quote:

Originariamente inviato da \_Davide_/

Sì sì, basta vedere che alcuni portali pubblici (sia di sanità che altri) non hanno neanche un FQDN, e vi si accede direttamente su indirizzo IP (di conseguenza in chiaro, senza certificato HTTPS) e con credenziali ridicole

non ho capito molto ma va bene così...

Quote:

Originariamente inviato da giovanni69

..Lasciamo pure passare le elezioni che poi non si dica che si vuole inquinare il clima elettorale ma degli stress test da parte della suddetta agenzia sarebbero doverosi.

certamente

[e-davide9191]

Guardate che croce rossa è un'organizzazione privata. Non è più pubblica da tipo il 2012.

[Saturn]

Quote:

Originariamente inviato da e-davide9191

Guardate che croce rossa è un'organizzazione privata. Non è più pubblica da tipo il 2012.

...quindi ?

[e-davide9191]

Quote:

Originariamente inviato da Saturn

...quindi ?

Quindi non comprendo perché la si stia confrontando con il settore pubblico. Vedi post di giovanni. A livello di sicurezza informatica si trovano schifezze sia nel privato che nel pubblico.

[giovanni69]

"L’Associazione della Croce Rossa Italiana (CRI) è persona giuridica di diritto privato ai sensi e per gli effetti del decreto legislativo 28 settembre 2012 e ss.mm. ii e del Libro Primo, titolo II, capo II, del Codice Civile. L’Associazione svolge compiti di interesse pubblico, è ausiliaria dei pubblici poteri nel settore umanitario ed è posta sotto l’alto Patronato del Presidente della Repubblica. "

In particolare:
"La Croce Rossa Italiana è un’associazione di interesse pubblico, istituita senza limiti di
tempo, con sede in Roma."


"Dal 2017, anno di entrata in vigore della Riforma del Terzo Settore, la CRI è iscritta nel Registro degli Enti del Terzo Settore in qualità di “Organizzazione di Volontariato”. Per effetto della sua articolazione territoriale sul territorio nazionale, la CRI si qualifica altresì quale “rete associativa nazionale” ai sensi del Codice del Terzo settore."

Una organizzazione di volontariato che ha la prerogativa di "svolgere attività ausiliaria dei pubblici poteri, in Italia e all’estero, sentito il Ministro degli affari esteri nonché il Ministero della difesa in caso di impieghi di carattere ausiliario delle Forze Armate, secondo le regole determinate dal Movimento"

e che presta "servizio di pronto soccorso e trasporto infermi per il Servizio sanitario
nazionale, i soccorsi speciali ed il servizio psicosociale, può sottoscrivere convenzioni
con pubbliche amministrazioni, partecipare a gare indette da pubbliche amministrazioni
e sottoscrivere i relativi contratti"

tra le innumerevol, meritevoli i altre attività, credo sia un soggetto da proteggere al meglio del possibile visti i dati sensibili che maneggia per sè o in relazione al tipo di attività che intrattiene con la PA che valgono anche la vita delle persone.

[e-davide9191]

Quote:

Originariamente inviato da giovanni69

"L’Associazione della Croce Rossa Italiana (CRI) è persona giuridica di diritto privato ai sensi e per gli effetti del decreto legislativo 28 settembre 2012 e ss.mm. ii e del Libro Primo, titolo II, capo II, del Codice Civile. L’Associazione svolge compiti di interesse pubblico, è ausiliaria dei pubblici poteri nel settore umanitario ed è posta sotto l’alto Patronato del Presidente della Repubblica. "

In particolare:
"La Croce Rossa Italiana è un’associazione di interesse pubblico, istituita senza limiti di
tempo, con sede in Roma."


"Dal 2017, anno di entrata in vigore della Riforma del Terzo Settore, la CRI è iscritta nel Registro degli Enti del Terzo Settore in qualità di “Organizzazione di Volontariato”. Per effetto della sua articolazione territoriale sul territorio nazionale, la CRI si qualifica altresì quale “rete associativa nazionale” ai sensi del Codice del Terzo settore."

Una organizzazione di volontariato che ha la prerogativa di "svolgere attività ausiliaria dei pubblici poteri, in Italia e all’estero, sentito il Ministro degli affari esteri nonché il Ministero della difesa in caso di impieghi di carattere ausiliario delle Forze Armate, secondo le regole determinate dal Movimento"

e che presta "servizio di pronto soccorso e trasporto infermi per il Servizio sanitario
nazionale, i soccorsi speciali ed il servizio psicosociale, può sottoscrivere convenzioni
con pubbliche amministrazioni, partecipare a gare indette da pubbliche amministrazioni
e sottoscrivere i relativi contratti"

tra le innumerevol, meritevoli i altre attività, credo sia un soggetto da proteggere al meglio del possibile visti i dati sensibili che maneggia per sè o in relazione al tipo di attività che intrattiene con la PA che valgono anche la vita delle persone.

Si ma non è un'organizzazione pubblica, di proprietà statale, come può essere l'inps o CdP. Anche la croce bianca svolge attività d'interesse pubblico ma non per questo appartiene al pubblico.

[giovanni69]

L'Agenzia per Cybersicurezza Nazionale (ACN) potrebbe prevedere che quando di mezzo c'è "l'interesse pubblico", visto l'interscambio di dati di dati sensibili e di accessi che possono essere il punto debole per un side-attack anche per la PA, tali supervisioni e stress test dovrebbero essere previsti.

[zappy]

Quote:

Originariamente inviato da e-davide9191

Si ma non è un'organizzazione pubblica, di proprietà statale, come può essere l'inps o CdP. Anche la croce bianca svolge attività d'interesse pubblico ma non per questo appartiene al pubblico.

Sono d’accordo che il pubblico NON abbia certo necessariamente la palma per il peggio sempre e comunque, ma la CRI penso si possa cmq annoverare nel parastato.
Insomma, quel privato che funziona grazie a fondi pubblici...