Le avventure di Ivan (S01 E03): "Attacco al Tribunale"

Atterro nel primo pomeriggio, dopo un volo di poco più di un’ora. Stuxnet ha viaggiato con me, rinchiuso nel suo trasportino, accanto ai miei piedi sotto al sedile.

Il sole e i profumi del Sud, e un incantevole cielo blu, mi avvolgono come esco dalla zona degli arrivi. Fuori c’è già, ad aspettarmi, una volante. Mezz’ora di viaggio e mi ritrovo in una sala riunioni al quinto piano del Tribunale con, seduti attorno a un tavolo di vetro, il Presidente del Consiglio dell’Ordine degli Avvocati, Il Presidente del Tribunale, il Procuratore Capo, un dirigente della Polizia Postale e diversi agenti di Polizia Giudiziaria. Il primo a parlare è il Presidente del Tribunale. Tutti gli altri mi squadrano con una certa diffidenza.

«La ringraziamo per avere accettato il nostro invito, caro dottore. Spero che il viaggio sia andato bene. Come le accennavo nella mia telefonata, le vorremmo dare un incarico un po’ particolare. Ma molto importante per noi.»

Sono tutti, noto, molto cortesi, ma non riesco a capire se sia una cortesia reale o di maniera. Stuxnet ha fiutato tutti i presenti e ora sta giocando con le stringhe delle scarpe di un Carabiniere. Lascio proseguire il Presidente nel suo discorso.

«Vorremmo, in pratica, che lei attaccasse, su nostro ordine e istruzioni, il sistema informatico del tribunale. Tutto. E vorremmo conoscere, alla fine, qual è il livello di vulnerabilità del nostro ambiente di lavoro.»

La richiesta non è, per me, nuova. Ho già fatto decine di test di penetrazione e di vulnerabilità in tribunali, ministeri e ospedali.

«Accetto con molto piacere, Presidente. Questo è un mio contratto-tipo dove trovate indicato, per filo e per segno, quello che farò e dove si escludono, anche, mie eventuali responsabilità. Se avete piacere, i ragazzi della postale e della polizia giudiziaria potranno accompagnarmi nell’intervento.»

Tutti tacciono e leggono, ma ora i poliziotti mi sembrano più sollevati. Alla fine fanno tutti cenno di sì, appongono le firme e ci diamo appuntamento al mattino alle nove del giorno successivo davanti al tribunale.

La sera prima dell’attacco la trascorro in un bar in riva al mare. Ho occupato un intero tavolo con il mio computer, una piccola stampante e altri oggetti strani. Il clima di fine settembre è fresco. Stampo un finto tesserino dell’Ordine da mostrare all’ingresso. Preparo delle chiavette USB contenenti un virus che si avvia non appena lo stick è inserito in un computer. Sul dorso di alcune chiavette incollo un’etichetta con scritto, a mano e in stampatello, “Fotografie private: nudo”. Sono le chiavette che abbandonerò nei bagni e nei locali più frequentati. Altre, invece, le porterò con me.

Arrivo in tribunale, l’indomani, con mezz’ora di anticipo. Ho lasciato Stuxnet in camera a dormire. Ha avuto una nottata impegnativa, il piccolo bulldog: stanotte è riuscito ad aprire da solo il frigo bar e si è mangiato le arachidi e i wafer. Per poi stare male e vomitare tutto sulla moquette. Entro nei locali del tribunale senza problemi, mostrando il tesserino falso e passando dall’entrata senza metal detector. Vedendo che sono di un Ordine diverso, e del nord, sono tutti molto più gentili del solito, e mi accompagnano senza problemi in base alle mie richieste d’informazioni.

Come prima mossa, appoggio una chiavetta con le finte foto di nudo nei bagni a fianco del lavandino, una sul tavolo all’ingresso della sala del Consiglio dell’Ordine, una su una sedia al bar e due su alcune sedie nelle aule d’udienza.

Con una chiavetta in mano, e l’aria spaesata, mi avvio deciso alla Cancelleria dove ho visto l’addetta più anziana e, con il mio miglior sorriso, domando la cortesia di stamparmi una sola pagina di un documento: una delega che ho dimenticato di stampare a Milano e che mi serve proprio quella mattina in udienza. Offrendomi di pagare la carta, ovviamente. La Cancelliera è deliziosa: “macché pagare, dia qui”, e inserisce la chiavetta nel suo computer, apre il documento che le indico di aprire, e mi domanda cosa fare con la finestra che è apparsa. Sta per attivare il virus, allora la blocco prima che dia l’OK alle modifiche al sistema.

La prima fase, quella dell’attacco tramite chiavette USB, è terminata. Con successo. Ora passo alla seconda fase: l’attacco con una finta rete Wi-Fi.

Mi sposto al terzo piano, dove non ci sono udienze e l’ambiente è più tranquillo, e dove trovo una panca libera. Dal mio portatile attivo una finta rete Wi-Fi, cui dò il nome di “tribunale_free”, e mi metto semplicemente ad attendere, sorseggiando acqua e menta. Qualcuno prima o poi, nei cinque piani che sto coprendo con le mie onde radio, si connetterà. Passano pochi minuti e vedo connessi due portatili, due telefoni e due tablet. Inizio, allora, ad acquisire pian piano tutte le informazioni su quelle connessioni: password, codici di accesso al sistema del processo civile telematico, dati di navigazione, comparse scambiate con i clienti.

Già ho acclarato che la parte tecnologica del Tribunale è molto debole, ma voglio fare un ulteriore test sul lato umano, la prima, vera vulnerabilità. Esco dal tribunale e mi avvio verso una cabina telefonica che avevo individuato il giorno prima proprio di fianco alla stazione ferroviaria, poco distante. Inizio a telefonare ai numeri degli uffici che mi ero annotato prendendoli dal sito web, dicendo di essere un tecnico che chiama da Roma per un problema alla rete del processo civile telematico. Comincio a domandare password, codici di accesso e indirizzi di posta elettronica certificata. Alla decima telefonata, dopo nove interlocutori estremamente diffidenti, finalmente mi imbatto nell’anello debole della catena di sicurezza. Una ragazza che s’intimorisce a sentire pronunciare determinati termini tecnici e mi comunica, al telefono, i suoi codici di accesso e quelli di tutto il suo ufficio. Annoto anche quelli, per il mio report finale.

Ci ritroviamo tutti nel tardo pomeriggio nell’ufficio del Presidente. Ho recuperato Stuxnet dalla camera e ho abbozzato un report, che poi invierò con calma nei prossimi giorni. Intanto, però, anticipo la situazione.

«Purtroppo la situazione nella vostra città non è diversa da quella di altri tribunali. Li ho già bucati praticamente tutti»

Il gelo attraversa la stanza. Il Presidente del Tribunale è il primo a parlare.

«Capisco. E dove dovremmo operare?»

«Procediamo con ordine. Il primo ingresso l’ho fatto fisicamente, con documenti e tesserini falsi. Oggi è elementare stampare e plastificare finte tessere, quindi è necessario aumentare i controlli in ingresso.»

Vedo che annotano tutti con cura. Allora continuo.

«Poi la ricerca della seconda vulnerabilità si è basata sulla curiosità altrui. Diffondere chiavette che sembrano contenere immagini erotiche private è il miglior modo per far sì che qualcuno le raccolga, le inserisca per visionarle, e avvii un virus. Va quindi data una direttiva precisa che vieti la connessione di qualsiasi tipo di chiavetta ai computer fissi e portatili all’interno del tribunale o dello studio legale.»

Continua a non volare una mosca.

«La terza vulnerabilità è derivata da un semplice atto di cortesia, lo stampare un documento contenuto in una chiavetta altrui, ma anche quello andrebbe vietato. Mai consentire il contatto tra dispositivi esterni e la rete di computer del tribunale o dello studio. In generale, non si dovrebbero mai accettare chiavette da altre persone e collegarle al proprio computer. Le chiavette sono uno dei principali vettori per virus di ogni tipo.»

Stuxnet ha completamente mangiato i lacci delle scarpe del Carabiniere e ora gira per la stanza masticando un pezzo di cordone nero. Per fortuna non se n’è accorto nessuno. Continuo.

«La quarta vulnerabilità è la mancanza di antivirus aggiornati in alcuni computer. Ogni computer deve avere un antivirus aggiornato ogni mattina e attivo. Ci vorrebbe anche un sistema di antivirus centrale a livello di rete.»

Gli interlocutori di fronte a me hanno gli occhi bassi e annotano con cura, come se si sentissero in colpa. Stuxnet ha appena vomitato i lacci e ora sta cercando con la zampetta di avviare il dispenser dell’acqua nell’angolo dell’ufficio. Io proseguo.

«La quinta vulnerabilità è stata la connessione a una rete Wi-Fi che, in realtà, ho attivato io. Occorre quindi fornire all’interno del tribunale una sola rete Wi-Fi sicura e comunicare a tutti che si devono collegare solo a quella. I nostri sistemi si dovrebbero collegare solo a reti sicure e già certificate come tali, e impedire la connessione a ogni altro tipo di rete.»

Il Presidente ha iniziato ad annuire, sembra molto soddisfatto della mia relazione preliminare. Stuxnet è ora dietro il dispenser dell’acqua e sta cercando di raggiungere il boccione dell’acqua facendosi forza contro il muro.

«Circa le telefonate, infine, anche in questo caso il problema è umano e non di tecnologia. Spesso si vuole essere cortesi, ma si danno informazioni in eccesso che, nelle mani giuste, diventano armi per entrare nei sistemi...»

Al boato, i tre Carabineri si alzano in piedi e un quarto riesce a evitare il dispenser e il boccione dell’acqua che cadono inesorabilmente in mezzo alla stanza con Stuxnet in piedi sopra, come un surfista. Il Carabiniere senza lacci, nello spostarsi, si ritrova senza scarpa e il calzino imbevuto di acqua gelata.

Impieghiamo circa venti minuti a rimettere in sesto la stanza, e dopo la mia relazione preliminare e lo show del mio bulldog, parlano a turno i poliziotti che hanno effettuato con me l’operazione. Il primo è molto chiaro

«Le chiavette con le finte foto di intimo sono state raccolte e inserite in meno di venti minuti. Due da addetti al personale, due da magistrati, tra cui anche il presidente di sezione, e una da un avvocato. La rete sarebbe stata compromessa senza difficoltà.»

«È il modo più rapido, per accedere» spiego loro. «Ho chiamato il mio cane Stuxnet proprio come il virus che ha attaccato una centrale nucleare in Iran. Se il sistema non ha contatti telematici con l’esterno, l’unico modo è penetrare con una chiavetta che sia collegata a un computer con le difese abbassate o senza antivirus. E il gioco è fatto.»

Prima di salutarci, con un piccolo colpo di teatro, lascio ai miei committenti un ultimo omaggio. Estraggo dalla tasca una lista di password che mi sono annotato e che ho avvistato in post-it attaccati ai bordi dei monitor o negli uffici, un paio di fascicoli che sono stati lasciati incustoditi in stanze aperte e che trattano fatti che in quei giorni erano su tutti i giornali, nonché una memory card con fotografie di documenti importanti intravisti su scrivanie.

In aeroporto c’è Clelia ad aspettarmi, e decidiamo di visitare insieme, nel weekend, Matera e i suoi Sassi, la bellissima Irsina, di goderci i paesaggi di una campagna lucana e pugliese brulla che arrivano fino a Melfi e di passare da Trani e dalla sua cattedrale sul mare.

Stuxnet ci accompagna e annusa, incuriosito, a turno, le scarpe di Clelia e i nuovi odori della campagna, cui non è abituato. Il cielo del sud lo rallegra, e corre felice con il suo nuovo collarino. Regalo del Carabiniere scalzo.

Il presente racconto, nella sua versione embrionale e affiancato da un fumetto di Tommaso Milella, è stato pubblicato, per la prima volta, nel 2017 in "Non credevo fosse un virus" di Giuffrè Editore, un opuscolo gratuito distribuito ai professionisti del diritto al fine di responsabilizzarli con riferimento all'uso degli strumenti informatici.