Site icon Syrus

Circa mezzo milione di vulnerabilità affliggono i siti internet delle pubbliche amministrazioni italiane

Facendo ricorso al motore di ricerca IOT Shodan, uno studio AGID (Agenzia per l’Italia Digitale) ha focalizzato l’attenzione sulle criticità registrate dai server della Pubblica Amministrazione; in alcuni è stata riscontrata una mancanza di aggiornamento, altri invece sono stati etichettati come “obsoleti”. I dati sono stati raccolti grazie all’IndicePA (IPA), una banca dati, in cui è possibile trovare il “censimento” dei siti della Pubblica Amministrazione, ma solo quelli “istituzionali primari”, che non includono i “sotto domini”. Pertanto, al fine di aumentare i dati a disposizione ed effettuare un’analisi più approfondita, i ricercatori hanno deciso “di usare alcuni tools in grado di identificare sottodomini basandosi su fonti OSINT”.

La ricerca ha puntato la sua attenzione soprattutto sui seguenti settori: Sanità e assistenza; Pubblica Amministrazione Centrale (PAC); Pubblica Amministrazione Locale (PAL); Istruzione. I risultati ottenuti dalla ricerca effettuata attraverso IOT Shodan sono stati suddivisi in due set di dati: “il primo contiene le singole vulnerabilità puntuali (per un totale di 495.762 vulnerabilità che affliggono i sistemi della Pubblica Amministrazione nel suo complesso), il secondo contiene una serie di statistiche aggregate (come score CVSS minimo e massimo) di ogni singolo IP”. Le falle di di livello “High, Medium e Low” sono state riscontrate nel servizio web server Apache. Le vulnerabilità “Critical” sono state rintracciate su tre servizi: Microsoft FTP ServerMicrosoft IIS, oltre che ancora su Apache HTTP server. Le informazioni ottenute dalla ricerca, inoltre, hanno avuto una grande utilità, perché hanno supportato i ricercatori nel calcolo delle statistiche sui sistemi operativi e sugli applicativi software usati. Questi dati, poi, potranno essere utilizzati anche per redigere “linee guida, pubblicazioni specifiche e prioritizzazione di corsi sull’hardening dei sistemi operativi”.

L’Agenzia per l’Italia digitale (in acronimo AgID) è una agenzia pubblica italiana, nata per iniziativa del Governo Monti. Il Presidente del Consiglio dei Ministri o una figura da lui delegata ha funzioni di indirizzo e vigilanza sull’Agenzia per l’Italia Digitale. In particolare, l’AgID ha un ruolo importante nella promozione dell’innovazione tecnologica per il corretto funzionamento della pubblica amministrazione; inoltre, l’Agenzia offre servizi ai cittadini e alle imprese, in conformità ai principi di “legalità, imparzialità e trasparenza” e perseguendo i criteri di “efficienza, economicità ed efficacia”. La funzione più importante dell’Agenzia per il Digitale è quella di “accreditare o autorizzare i soggetti, sia quelli pubblici che quelli privati, che svolgono talune attività in ambito digitale”. Infine, gli organi direttivi dell’Agenzia sono: Direttore Generale, Comitato di indirizzo e collegio dei revisori dei conti.

Syrus

Exit mobile version