Siti web, comuni Italiani e cittadini. A tenere unite queste tre sfere è la sicurezza, quella mancante. Il mes3hacklab di Mestre ha messo tutti in guardia dopo aver analizzato domini e sottodomini di 7554 dei 7954 Comuni Italiani. 

Il risultato: il 67% dei siti presi in esame non viene aggiornato da più di 365 giorni. La carente attività di rinnovamento espone il sistema al rischio degli attacchi provenienti dai pirati informatici.

A essere presi in considerazione sono stati i tre CMS più diffusi: Drupal, Joomla e il più noto Wordpress. E proprio per quest’ultimo, la situazione è poco rassicurante: quasi una versione su tre di quelle in uso è precedente al 2015 e questo espone a grandi rischi circa un milione e mezzo di siti nel mondo che poggiano, quindi, su un sistema non aggiornato. Questo coinvolge tutt’ora il 37,62 % dei siti di comuni italiani che si basano su un sistema precedente a quello del 2017, rilasciato per tentare di porre rimedio al debole livello di guardia della versione in auge nei 24 mesi precedenti.

Va persino peggio ai domini fondati sul CMS Drupal, per il quale gli hacker hanno dato vita a un potente malware chiamato Drupalgeddon2 che permette loro di ottenere il pieno controllo del sistema entrando in possesso di tutti i dati del server. Il 64,5 % dei domini istituzionali che utilizzano Drupal sono esposti all’attacco di Dupalgeddon2, come già accaduto al sito del Comune di Massa che è stato reso inaccessibile per giorni. Si contano attualmente 115 mila pagine potenzialmente sensibili al malware.

Lo spirito con cui mes3hacklab ha svolto l’indagine è quella di promuovere in tutti gli ambiti lo spirito di protezione delle città. Le vulnerabilità riscontrate costituiscono un rischio vero per i cittadini e per gli uffici pubblici che affidano alla rete un patrimonio di dati rilevante o si rivolgono al web per la ricerca d’informazioni. I risultati dell’indagine sono stati consegnati al Computer Emergency Response Team che ha attivato un sistema capillare di avvisi rivolti alle PA locali. L’ultima avanguardia in quest’ottica è il responsible disclosure, un sistema automatico di monitoraggio che rende noto al webmaster se lo stato di sicurezza del sito è inadeguato e, in questo caso, inibisce la pubblicazione dei dati e dei tool da 90 giorni prima della prima notifica.