«Il sito di Inps è frutto di anni di gare al massimo ribasso: sotto dimensionato, mal progettato»

di Ilaria Roncone | 02/04/2020

  • Tra malfunzionamenti e accesso ai dati altrui, la giornata di ieri sul sito Inps è stata un inferno

  • Secondo esperti informatici c'erano modi per arginare ambedue i problemi

  • Quanto accaduto sarebbe frutto della mal progettazione del sito dell'Istituto

La conclusione di Francesco Bellini, professore di trasformazione digitale all’università Sapienza di Roma, è che non ci sono scusanti per quanto accaduto ieri sul sito dell’Inps. L’esperto ha provato a fare chiarezza sul perché le pagine degli utenti sono state mischiate, sull’attacco hacker o presunto tale e su tutti i malfunzionamenti che hanno interessato il sito mentre le persone domandavano il bonus 600 euro autonomi.

LEGGI ANCHE >>> Perché il sito dell’Inps non funziona

Gli esperti dell’istituto non hanno scusanti valide, ma anche il sito non è buono

Per il professore non ci sono scuse valide, né le tante richieste né gli attacchi hacker – che ha definito facilmente prevenibili-. Sarebbe tutto da attribuire alla struttura del sito, fatto male e con poche risorte investite negli anni. Paolo dal Checco, noto informatico forense, ha portato come esempio Amazon. Il sito di e-commerce numero uno al mondo, come altri siti minori, «non vanno in tilt a Natale e Black Friday: sono tanti gli accorgimenti tecnici utilizzabili per evitarlo». Viene anche sottolineato con «Inps non aveva già a disposizione un sito e un’infrastruttura tale da reggere questo picco». E come non ci fosse «il tempo per rimediare in extremis, bandendo una gara d’urgenza». Nonostante ciò si sarebbe comunque potuto agire in diversi modi per alleggerire il sovraccarico e per evitare lo scambio di profili: «inserendo un meccanismo di coda ordinata di accesso al sito o scaglionando gli accessi, come sta provando a fare adesso», sostiene Vittorio Bergola, Research & Innovation Engineer presso Open-Xchange.

 

 

Perché è stato possibile vedere i dati sensibili degli altri

La falla nel sistema che ha consentito a molto utenti di accedere a dati di altri è avvenuta in due diversi momenti. La prima volta, secondo quanto rilevato da Dal Checco, nel pomeriggio del 31 marzo per dieci minuti circa. La seconda la mattina del 1° aprile per un’oretta. Non è opera di hacker, come concordano tutti gli esperti. «Inps probabilmente ha fatto un errore nel processo di “staticizzazione” delle pagine (caching); escamotage che aveva utilizzato per ridurre il carico sui server in vista delle tante richieste attese». Ora rimane da accertare la natura dell’errore grazie all’inchiesta già avviata dal Farante per la privacy e all’autorità giudiziaria competente.

Sito sovraccaricato per le troppe richieste degli utenti

Per quanto riguarda l’hacking c’è una spiegazione anche per questo. Secondo gli esperti date le prime evidenze raccolte tramite indagine e dato quanto ha affermato Inps, si potrebbe essere trattato di un attacco Ddos. Di cosa si tratta? Un mezzo che i criminali informatici utilizzano per paralizzare i server di un sito mandandogli richieste controllate da loro da migliaia o milioni di computer. Queste richieste, però, sono simili a quelle che effettivamente sono giunte sul sito dell’Inps in maniera lecita. Questa falla era emersa anche il giorno precedente al presunto attacco hacker, quindi il Ddos ha solo aggravato – eventualmente – un problema già realmente esistente: quello delle troppe richieste che causano il sovraccarico del sito. E anche qui, secondo Dal Checco, si sarebbe potuto fare di più. Gli informatici Inps avrebbero potuto sfruttare «servizi di fornitori esterni, cloud e content delivery network» dimensionando così le proprie risorse. Esistono inoltre «servizi specializzati che proteggono dagli attacchi Ddos, assorbendo anche decine di migliaia di richieste al secondo».

 

(Immagine copertina da Pixabay)