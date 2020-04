Il lungo 1° aprile del sito dell’Inps: cronaca di un disastro annunciato

2 April 2020 – 11:34

Allo scoccare della mezzanotte tra il 31 marzo e il 1° aprile, il sito dell’Inps è stato preso d’assalto da decine di migliaia di autonomi per richiedere il bonus di 600 euro previsto dal decreto Cura Italia. Il grande numero di accessi ha dato fin da subito un problema di saturazione della banda, rendendo di fatto inaccessibile il servizio a buona parte degli utenti. Si è verificato, insomma, un involontario attacco Ddos (Distribuited Denial of Service): solo che anziché aver a che fare con una botnet malevola, guidata da qualche criminale informatico, è bastato un semplice sovraccarico di accessi.

Questo è stato il primo problema, e forse anche il minore: sebbene già a questo livello fosse possibile intravedere una cattiva gestione tecnica e comunicativa dell’attività; comunicativa, innanzitutto, perché in una situazione del genere, con una pandemia in corso, autonomi preoccupati e giornate libere da parte di una gran fetta della popolazione, era facilmente intuibile che un enorme numero di utenti si sarebbe collegato in contemporanea al sito dell’ente previdenziale nazionale per riscattare il bonus (sta succedendo quasi ovunque nel mondo, peraltro). Ma anche tecnica, perché le 100 domande al secondo, citate dallo stesso presidente dell’Inps Pasquale Tridico, sono in realtà poca cosa per una rete che dovrebbe essere realizzata per gestire molte più connessioni all’unisono.

#Bonus600euro @PTridico : “Dall’una di notte alle 8.30 circa, abbiamo ricevuto 300mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri” pic.twitter.com/qHaIzETEdi

— INPS (@INPS_it) April 1, 2020

Già, 100 “domande” (o connessioni) al secondo – ma fossero anche 300, o 500 – per un’infrastruttura come quella dell’Inps dovrebbero essere equiparabili a solletico e carezzine. In ambito informatico è noto ai più il C10k problem, una strategia tecnologica per ottimizzare grandi quantità di connessioni contemporanee, nell’ordine della decina di migliaia. E fu sviluppata da Dan Kregel nel 1999, cioè 21 anni fa.

Sottostimare ciò che sarebbe accaduto, dopo che si era vociferato addirittura di un meccanismo click day secondo il quale si sarebbe beneficiato del bonus in base all’ordine di richiesta nel sito, è stato il primo, grosso, errore di gestione. Non disporre di risorse tecniche adeguate è stato il secondo. Specie se si considera che, stando al bando di gara consultabile nel medesimo sito Inps, nel 2016 è stata stanziata una base d’asta per 360 milioni di euro (Iva esclusa), per 4 anni di gestione dei servizi di “Application Development and Maintenance (Adm)”. Dallo stesso comunicato dell’ente si viene inoltre a sapere che “circa il 35% delle spese di funzionamento complessive dell’intera struttura” sono rappresentate proprio dal settore It.

Ebbene, nel corso della mattinata del 1° aprile diversi utenti hanno iniziato a segnalare un problema che va oltre l’inaccessibilità al sito. Molti di quelli che riuscivano ad accedervi, infatti, si ritrovavano nel profilo di altre persone, e bastava cliccare sulla pagina per passare ad altri profili ancora. Qualcuno, addirittura, segnalava di essere in grado di accedere a dei profili senza nemmeno bisogno di credenziali. È possibile sia successo? E nel caso, come è potuto accadere?

Il sito Inps in blackout, ho serie preoccupazioni riguardo la privacy degli utenti!!! #inpsdown

Posted by Romina Fenech on Wednesday, April 1, 2020

Dagli elementi raccolti fino a questo momento, tutto sarebbe riconducibile a un problema di cache, anche se l’origine è un po’ più intima e ha a che vedere con il load balancing, cioè la tecnica con cui si assegnano dei compiti a un sistema informatico al fine di ottimizzarne le prestazioni. In soldoni, se il carico di compiti per un sistema, diventa gravoso, è necessario distribuirli meglio. Per farlo, entra in azione un load balancer, o bilanciatore, pronto a smistare i processi del sistema. Di solito il bilanciatore, se ben configurato – e se in una rete progettata a modo – è in grado di ottemperare a buona parte delle necessità, ma se il codice che compone il sito è scritto male e la configurazione è precaria, le risorse terminano in fretta e le prestazioni crollano. Per migliorarle, probabilmente, i sistemisti di Inps hanno deciso di attivare una cache, cioè una copia delle pagine più utilizzate. Se tuttavia le cose vengono fatte di fretta e non si delineano bene i confini di azione della cache, si rischia di mettere nella copia anche pagine che dovrebbero essere invece legate ai singoli accessi. È un po’ come stampare dei moduli pre-intestati per agevolarne la compilazione, e per errore stamparne anche delle copie compilate di tutto punto.

Questo, con le dovute semplificazioni, porta a un concetto importante: in questo clamoroso disservizio, frutto di una tempesta perfetta, è molto più probabile l’errore umano che l’attacco hacker di cui hanno parlato sia il governo che l’ente previdenziale.

La questione è più logica che tecnica. Gli attacchi hacker sono mossi da tre scopi: uno benevolo e due malevoli. Da una parte esporre i problemi di sicurezza di un sistema informatico, dall’altra sabotare un sistema per scopi politici o per rubare del denaro. Un attacco benevolo avrebbe esposto direttamente un elenco di dati, senza bisogno di fare sembrare tutto questo uno scherzo, una marachella; per contro, un attacco malevolo avrebbe puntato o su obiettivi governativi di più alto livello, e in modo più massiccio, o avrebbe portato al furto di denaro o di beni rivendibili. Anche si fosse trattato di furto di dati ce ne saremmo accorti, semmai, giorni, settimane o mesi dopo, perché non è certo nell’interesse di un criminale informatico rendere così visibile – e in tempo reale – un attacco malevolo.

In merito a eventuali azioni hacker, è arrivata prontamente la smentita ufficiale anche di Anonymous Italia e di LulzSec Italia.

Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/Cgz8PWYUTC

— Anonymous Italia (@Anon_ITA) April 1, 2020

Difficile, in conclusione, affibbiare questo disservizio a dei presunti “attacchi hacker”. L’ipotesi è comunque al vaglio delle autorità, che potranno avere accesso ai log, cioè i registri delle connessioni, e verificare abbastanza agevolmente eventuali responsabilità, ma non aspettiamoci grosse sorprese: la lunga giornata dell’Inps, per quanto possiamo saperne ora, è solo colpa dell’Inps.



