M5s: la piattaforma Rousseau e l’ennesimo hack

Indice

Oggi Repubblica ha aperto con una notizia riportata il nuovo attacco alla piattaforma Rousseau del Movimento 5 Stelle. Sembra che siano stati rivelati i nomi di alcuni donatori da parte di un hacker: Rogue0 ma ciò che dovrebbe far riflettere è ben altro…

La piattaforma Rousseau è stata oggetto di hacking altre volte e, nonostante le cosiddette migliorie tecniche, è stata nuovamente bucata dallo stesso hacker. Comprenderete la peculiarità di questa notizia. L’hacker in questione Rogue0 ha pubblicato la notizia attraverso un Tweet sul suo canale.

Il modo con cui Rogue0 ha effettuato l’attacco non è noto ma è fondamentale capire che vi è una seria falla di sicurezza nella piattaforma del Movimento 5 Stelle, che la rende soggetta ad attacchi anche dal medesimo soggetto che, oltre l’indubbia bravura, dimostra anche di conoscere molto bene la realtà dei sistemi informativi del Movimento.

Perchè questo attacco è importante?

Perchè, come correttamente scrive Marco Canestrari

Sono acidissimi cavoli, soprattutto se si venisse a scoprire che i sistemi non sono aggiornati, come invece hanno dichiarato tempo fa (“tutte le richieste del Garante sono soddisfatte”).

E quindi vi è necessità di rispondere ad alcune domande importanti:

  1. Chi controlla e certifica che gli interventi di aggiornamento fatti all’epoca del precedente attacco, siano avvenuti effettivamente?
  2. Come gestirà la situazione il M5s per garantire che lo stesso hacker non colpisca ulteriormente la piattaforma Rousseau?

Vi è quindi un problema a monte (che ci riporta ad uno dei grandi problemi italiani): la capacità di verificare e in caso certificare la sicurezza di una determinata infrastruttura. Vi è anche un problema a valle, di risposta coerente e proporzionata agli eventi di attacco.

Cosa vuol dire aggiornare un sistema?

La piattaforma Rosseau è un’applicazione (anche se viene eseguita sul web) e pertanto, come tutte le (web-) application, ha bisogno di aggiornamenti costanti che:

  • introducano codice sorgente moderno, sicuro, aggiornato e non deprecato, obsoleto, rischioso.
  • risolvano problemi rilevati in fase di analisi e che, in gergo, portano ad un bug-fixing

Un caro amico, Davide Messia, è responsabile di una pagina e un canale instagram chiamato “L’Oracolo del Test”. Davide discute ogni giorno dell’importanza dei test su applicazioni di ogni tipo. Ecco quindi che oggi Davide farà un sorriso molto amaro quando leggerà la notizia di Repubblica perchè scoprirà quanto siano vere le sue parole.

Provvedimento del Garante del Dicembre 2017

È da tenere conto che a seguito del provvedimento appena riportato, seguì un ulteriore provvedimento del Garante Soro il 16 maggio 2017. Lo scopo dei provvedimenti non era solo accertarsi che non vi fossero fenomeni di data breach, quanto proteggere i dati sensibili degli utenti della piattaforma.

Rogue0

L’immagine di profilo su Twitter di Rogue0

Rogue0 ha comunque dimostrato anche un’altra cosa molto importante: che si può colpire la medesima piattaforma più volte e rimanere impuniti. Non è cosa da poco se ci pensate bene e apre fronti di riflessione molto interessanti. Ma l’intervento di Rogue0 ci riporta anche ad un’altra tematica molto importante, ossia la validità del voto elettronico.

Voto elettronico

Qualche giorno fa Giovanni Manca ha pubblicato su LinkedIn un articolo di Quintarelli che vi invito a leggere. Si chiama “Voto elettronico, la blockchain è una cattiva idea: ecco perché“. In sostanza Quintarelli scrive:

In generale, il problema della verifica del voto così espresso non si risolve senza introdurre altri punti di vulnerabilità in un sistema o di una terza parte di cui fidarsi.

Il voto elettronico, secondo Quintarelli, potrebbe essere soggetto ad una moltitudine di problemi tra cui quelli di tipo software e quelli legati alla verifica effettiva del voto espresso e quelli legati alla logica del “voto di scambio”. Non sto qui a fornire dettagli per non svelare l’interessante lavoro di Quintarelli ma è comunque necessario effettuare una riflessione in merito a questo.

Un problema di cultura

Vi è quindi un problema culturale prima che tecnico, un problema di generale sottovalutazione delle conseguenze dovute alla mancanza di interventi infrastrutturali adeguati, e una scarsa preoccupazione di tutto quello che potrebbe conseguire da questa sottovalutazione. Vi è anche una generale incertezza della pena il che rende più “appetibili” fare queste attività.