Acquisti pubblica amministrazione italiana: il portale è un colabrodo

Acquisti pubblica amministrazione italiana: il portale è un colabrodo

Il Fatto Quotidiano ha pubblicato un report per denunciare il grado di sicurezza del Portale degli acquisti della Pubblica Amministrazione. Un utente mediamente esperto poteva non solo impostare alcune opzioni del Portale, ma anche accedere a dati privati sensibili. Dopo la denuncia da parte del quotidiano la struttura del sito è cambiata, con un form per il login per gli amministratori

di pubblicata il , alle 08:41 nel canale Web
 

Un giornalista de Il Fatto Quotidiano è riuscito a ottenere informazioni e dati sensibili dal Portale degli Acquisti della Pubblica Amministrazione gestito dal Ministero dell'Economia e da Consip. Documenti interni, offerte di aziende e PDF contenenti carte d'identità erano alla mercé di qualsiasi utente avente un minimo di perizia informatica.

Non era necessario "nessun hackeraggio", dal momento che il sito risultava "sostanzialmente privo di protezione anti-intrusione". Il portale viene utilizzato per gestire offerte e bandi da parte di vari enti e, per interagire con il suo "pannello di configurazione", bastava semplicemente "aggiungere un'estensione facilmente individuabile" da un utente competente in materia di web, e della struttura dei vari siti.

Dal pannello era possibile gestire le credenziali dei singoli utenti registrati, potendo decidere i permessi del singolo utente, e lo poteva fare "chiunque, comodamente dal PC di casa sua", scrive il quotidiano italiano. Infatti, per accedere al pannello di configurazione del Portale degli Acquisti della Pubblica Amministrazione non era necessario alcun log-in, nessuna credenziale o password per poter effettuare modifiche all'interno del sito.

Inoltre, con semplici modifiche dell'estensione era possibile aprire una "sorta di plancia di comando", con la quale controllare il database del portale e, soprattutto, eseguire query, ovvero richiedere la lettura dei dati contenuti all'interno del database. Per effettuare l'operazione era necessaria una minima competenza di base sull'argomento, unico requisito per poter accedere all'intero database del portale.

Non era necessario alcuno strumento, o violare alcuna legge, per accedere ai dati sensibili, secondo Il Fatto Quotidiano, che cita il webmaster Fabrizio Vassallo: "Per quanto protette potessero essere le pagine, se io riesco ad accedere a questo pannello di controllo posso comunque prendermi i dati che voglio. Anzi grazie all’accesso diretto al database posso cercare i dati scegliendo pure che cosa voglio vedere. Come un vero e proprio motore di ricerca. Tutto lecito: solo che nessuno, tranne i gestori del portale, dovrebbero poterlo fare".

Il quotidiano è riuscito a disporre anche di file PDF relativi a documentazioni private, come raccomandate inviate da una società esterna alla Consip, con i "conti correnti intestati alla società vincitrice di bando" e i documenti dei rispettivi amministratori dell'azienda come, ad esempio, le carte d'identità. Come scrive Vassallo, ci troviamo di fronte a una ingenua vulnerabilità che avrebbe permesso a qualsiasi utente malintenzionato di accedere a tutti i dati sviluppando un semplice software in grado di scansionare tutti i numeri finali dell'url, da 1 a 10.000, per scaricare i contenuti di tutte le pagine.

La denuncia de Il Fatto Quotidiano è servita a qualcosa. Il portale dispone adesso di un regolare form per il log-in specifico per gli amministratori, in modo che non è più possibile accedere alle informazioni. Le modifiche sono arrivate in seguito alla replica di Consip, che sostiene che quanto disponibile a tutti fosse solamente materiale di dominio pubblico: "Il pannello a cui si riferisce l’articolo non è altro che la pagina iniziale del motore di ricerca interno alla piattaforma" - scrive la Consip in risposta al pezzo del quotidiano - "Attraverso il quale possono essere raggiunti solo documenti pubblici, senza possibilità di modificare né i dati e neppure il database, ma solo i criteri della ricerca".

"I documenti oggetto dell’articolo sono pubblicati sul sistema ed accessibili da un qualsiasi utente (anche non registrato al sistema) attraverso i normali percorsi di consultazione del portale Acquistinretepa.it", continua la società che gestisce il portale. La risposta non ha convinto la redazione de Il Fatto Quotidiano, che scrive: "È per questo che è perfino scaricabile l’appunto dei vostri tecnici inerente agli aggiustamenti grafici da apportare al sito?"

"È un fatto, poi, che dopo alcune ore dalla pubblicazione del nostro articolo, il portale sia stato modificato", scrive la redazione del quotidiano. "Ora per inserirsi nel sistema occorrono Id e password come in qualsiasi altro sito. Segno che quanto da noi denunciato era effettivamente una grossa anomalia".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cm0s19 Giugno 2014, 09:21 #1
mi chiedo come sia possibile tutto ciò!!
koni19 Giugno 2014, 09:23 #2
notizia un po' vecchia dato che hanno sistemato già ieri mattina
leggete le news da toms e dopo le postate il giorno dopo :P
Tasslehoff19 Giugno 2014, 19:29 #3
Si ma ragazzi, posso capire (ma non giustificare) una certa vaghezza delle informazioni da parte di un quotidiano o una testata generalista, ma da un sito (sulla carta) specializzato mi aspetto qualcosa di più...

Per come avere riportato la notizia sembra che fosse possibile loggarsi all'interfaccia di backend dell'applicazione e accedere direttamente al dbms, quando invece si trattava semplicemente dell'interfaccia del solo motore di indicizzazione usato dall'applicazione.
Questo non per sminuire la gravità del caso, ma per dare una giusta informazione sulla problematica.

Più in generale posso dire che proprio da consulente IT che lavora prevalentemente per la pubblica amministrazione questo incidente non mi sorprende nemmeno un po'.
Ovviamente viene spontaneo sparare sulla croce rossa denunciando il lassisimo e l'incompetenza della PA (lungi da me negare questi dati oggettivi, e dato che ci lavoro dentro da più di 10 anni qualcosina penso di saperne...), in realtà questa casistica è lo specchio esatto della attuale condizione dell'IT nella PA.

Giusto due dati:
[LIST=1]
[*]nella PA qualsiasi cosa si muova nel comparto IT viene fatta da consulenti (per mille motivi che non sto qui a spiegare per non andare troppo OT).
[*]qualsiasi attività di una certa consistenza è sottoposta a gara d'appalto al ribasso
[*]le gare hanno dei requisiti tali da permettere solo a grandi realtà di partecipare (fatturato, storico di altre gare simili vinte, certificazioni unicamente formali e tutt'altro che tecniche)
[*]con l'esclusione di un paio di casistiche le grandi realtà informatiche presenti in Italia hanno solo una struttura commerciale e non tecnica, alcune per scelta, altre per cattiva gestione o spartizione pseudo-politica (es Telecom Italia, uno dei grossi nomi nell'IT nazionale, fino a pochi anni fa aveva un comparto IT veramente d'eccellenza, ora del tutto smantellato).
Per questo motivo tutte subappaltano le commesse a società partner (generalmente piccole o piccolissime) che hanno quasi soltanto personale tecnico e che si smazzano tutto il lavoro
[/LIST]

E' ovvio che con questa struttura i big che ci mettono la faccia (e si presentano dal cliente giusto una volta ogni 6 mesi o 1 anno a firmare un contratto) danno un contributo pari a ZERO, prendendosi però un bel markup.
Dato che con la celeberrima "spending review" i fondi a disposizione degli enti pubblici si sono ridotti, le gare hanno avuto una stretta.

Secondo voi dove hanno tagliato?
Sulle licenze? Es aumentando i software open a scapito dei prodotti commerciali.
Sulla burocrazia? Es riducendo i vincoli alle gare in modo da permettere alle piccole società (che poi in definitiva sono quelle che portano avanti i lavori) di partecipare direttamente tagliando i big-parassiti che non danno alcun contributo reale?
Ovviamente no, hanno tagliato sui costi del personale, ottenendo quindi gare dove i costi per tecnico senior (sviluppatore, sistemista, analista, webdesigner, grafico) partono da 160 € a giornata e spesso si chiudono a 140 € a giornata o meno.

All'apparenza può non sembrare male, ma se fate due conti risultano 20 € o meno l'ora per una figura altamente specializzata, senior e che fa un lavoro di grande responsabilità (e credetemi, quando gestite un portale o un servizio che in caso di down genera articoli su Repubblica o Corriere, oppure blocco totale di pagamenti su tributi o blocco di uffici pubblici, la pressione e la responsabilità di fanno sentire... ), ne più ne meno come un garzone dal panettiere (con tutto il rispetto per questa nobile professione).

Fino a qualche anno fa le gare si chiudevano a circa 300-350 euro a giornata, e non pensiate che siano tanti, tra subappalti e costi di gestione sono giusti giusti per pagare al tecnico i suoi 1400-1500 euro al mese (oggettivamente pochi per una figura senior) e per non far fallire la società per cui questo lavora.
Ora con questi tagli al posto della figura senior ci finisce un junior, neo laureato o diplomato, magari appassionato o volenteroso, ma del tutto inadeguato per il compito e senza esperienza.
Viene venduto come senior, magari affiancato da un senior in fase di setup iniziale (il quale poi viene sballottolato tra mille clienti a spot per poter rendere abbastanza da pagargli lo stipendio, ribadisco sottopagato) e poi lasciato totalmente a se stesso e allo sbando.

Ecco il perchè di queste casistiche, sono la pura e semplice conseguenza di una gestione dissennata nelle procedure di assegnazione delle gare.
tipotipo21 Giugno 2014, 11:47 #4
... e purtroppo posso confermare che molto di tutto quanto detto è presente anche nell'ambito sanitario...
L'errore più grosso è lasciare ai politici il controllo della situazione: sono tendenzialmente totalmente incompetenti e si appoggiano a manager assolutamente ricattabili che devono solo far (forse...) quadrare dei bilanci senza minimamente preoccuparsi dei risultati...
gianluca.f23 Giugno 2014, 08:30 #5
Non era necessario alcuno strumento, o violare alcuna legge, per accedere ai dati sensibili


no certo, se trovo una porta aperta io entro sempre nelle case degli altri.
nessuna legge me lo vieta...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^