Nella giornata di ieri è stata presentata durante una conferenza stampa in diretta Facebook la nuova versione di Rousseau, la piattaforma / “sistema operativo del Movimento 5 Stelle” che ambisce a diventare la prima vera infrastruttura digitale italiana per la democrazia diretta.
Rousseau 2.0 ovviamente non ha niente a che fare con un sistema operativo — Invece, si tratta di un hub digitale che gli iscritti del Movimento 5 Stelle possono sfruttare per coordinare le attività sociali e politiche. Secondo Davide Casaleggio, coordinatore del progetto, l’orizzonte a cui ambire è un Rousseau capace di supportare interamente tutte le dinamiche di votazione democratica. Il problema è che a meno di 24 ore dalla presentazione, la nuova versione di Rousseau è già stata hackerata.
Videos by VICE
Sebbene siano stati fatti diversi passi avanti rispetto alla prima versione (specialmente dal punto di vista dell’usabilità) e sebbene si tratti comunque di una piattaforma anni luce avanti l’agghiacciante Bob del Partito Democratico, Rousseau fatica ancora a trovare una soluzione alle problematiche di certificazione del voto. Infatti, se la piattaforma deve venire usata anche per votare le proposte, i candidati e più in generale le attività politiche del Movimento, è indubbio che sia costantemente necessaria un’attività di verifica che certifichi la validità democratica del voto.
“Voglio mettere in chiaro da subito una questione: questo non è un attacco politico.”
“Ho aperto questo sito solamente per avvisare gli iscritti al sito rousseau.movimento5stelle.it che, a causa di una variabile vulnerabile a SQL injection, i loro dati sensibili sono potenzialmente a rischio,” si legge nel sito internet (ora offline, qui cache) creato ad-hoc da Evariste Gal0is, il ricercatore in ambito security che per primo ha discusso pubblicamente le vulnerabilità della piattaforma e che ha dichiarato di aver già segnalato le falle ai webmaster di Rousseau.
L’attacco di tipo SQL Injection, secondo il sito del ricercatore, è stato eseguito grazie al tool SQLmap, attraverso cui è stato possibile rilevare una variabile non controllata nel database di Rousseau che è stata poi sfruttata per far eseguire al database dei comandi senza che Evariste avesse i privilegi necessari per farlo. La variabile non controllata che ha sfruttato non è stata resa pubblica e, secondo Evariste, probabilmente quella singola falla è già stata sistemata — Ma visto lo stato della piattaforma non esclude che ce ne possano essere altre di simili.
La tabelle dei database ottenute da Evariste riguardavano diversi dati personali di utenti che avevano effettuato donazioni attraverso Rousseau e, soprattutto, i numerosi dati — una tabella da 72 entrate, dall’indirizzo email fino al numero al numero di telefono, passando per la presentazione — che gli iscritti immettono al momento della registrazione alla piattaforma e alla registrazione per una candidatura.
Le tabelle che Evariste ha ottenuto riguardavano anche i dati delle votazioni online e, secondo il ricercatore, la possibilità di ottenere questi “per ora, non rende sicuro il sistema di votazione online adottato.”
Evariste, inoltre, evidenzia un’altra mancanza nei protocolli di sicurezza adottati da Rousseau. Secondo il report del ricercatore, infatti, il sito movimento5stelle.it (che ospita Rousseau) impone per le password una lunghezza massima di 8 caratteri, “Una debolezza che diventa maggiormente grave con la presenza di una vulnerabilità SQLi.”
Il ricercatore fa notare come sfruttando un programma per cracking password come John the Ripper, che sfrutta attacchi di tipo dizionario o a forza bruta, “sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate.” Una vulnerabilità del genere mette in concreta discussione l’effettiva sicurezza generale del sistema, e sottolinea i rischi che gli utenti potrebbero correre nel momento delle votazioni online sulla piattaforma.
Contattato per email, Evariste mi spiega che secondo lui “I computer hanno migliorato e semplificato numerosi aspetti della nostra vita — Anche nel quotidiano ci affidiamo ad algoritmi e codici per un sacco di questioni fondamentali e anche la democrazia inizierà a muoversi verso questa direzione,” mi spiega. “Quello che servirebbe è ordine: prima ci vorrebbe un dibatto tra esperti, e poi un dibattito politico serio, e poi dei test per vedere se davvero questa migrazione conviene ed è fattibile. Il rischio di vulnerabilità sarà sempre presente, ma bisognerebbe lavorare per ridurlo al minimo. Se proprio si dovesse giungere alla conclusione che non si riesce a fornire un voto virtuale sicuro si può benissimo continuare con matita e carta.”
Sebbene il ricercatore stesso non lo escluda, non sembra che siano stati rubati dati degli utenti attraverso queste vulnerabilità.
Al momento, sebbene il ricercatore stesso non lo escluda, non sembra che siano stati rubati dati degli utenti attraverso queste vulnerabilità — La cosa migliore da fare, in attesa che sia la piattaforma stessa a migliorare i propri protocolli di sicurezza, è modificare tutte le password utilizzate su Rousseau per scongiurare ripercussioni future.
Evariste, in quanto ricercatore in ambito security, ci tiene a sottolineare che l’intento dell’attacco non è in nessun modo politico e che anzi si tratta di un’azione svolta per cercare di informare e sensibilizzare circa una questione fondamentale come quella dei dati personali degli utenti, tanto più se si tratta di una piattaforma di governance come Rousseau.
La sicurezza delle piattaforme sfruttate per le dinamiche di governance è più che mai attuale — Dopo il recente caso, dimostrato all’ultima conferenza di hacking Def Con, dell’hack ai danni delle cabine elettorali elettroniche utilizzate negli Stati Uniti, il 22 ottobre in Italia verrà utilizzato per la prima volta un sistema di voto elettronico in occasione del Referendum per l’autonomia della Lombardia.
Secondo Evariste si tratta di “Una prova su grandi numeri: stanno provando a investire una cifra importante e il voto è consultivo, quindi è importante ma fino a un certo punto,” mi spiega. “Insomma è un buon banco di prova, non so come andrà, ho già letto lamentele sulle spese, ma io penso che provare possa far bene. Spero davvero non finisca male,” continua. Resta da chiedersi se in Italia il dibattito sulla sicurezza informatica sia abbastanza maturo da poter garantire un’attenzione mediatica sufficiente utile a monitorare un’operazione del genere, “Non so se i tempi siano già maturi, ma se parlano persone competenti vale la pena ascoltarle,” mi dice Evariste, “L’importante è non farla finire in urla e slogan come spesso capita.”
Il caso dell’hack a Rousseau infatti è emblematico per Evariste, “Personalmente credo che spesso (non sempre) gli articoli su queste tematiche non siano abbastanza tecnici,” mi spiega Evariste. “Capisco il bisogno di semplificare, di rendere l’argomento accessibile a tutti, ma a volte si rischia di utilizza termini errati o far passare i concetti in maniera errata. ll motivo per cui sono titubante è il modo in cui si diffonde la notizia: se si riflettesse sul rischi del voto online, se si parlasse di come migliorare Rousseau e la sua sicurezza, se si parlasse del diritto di essere a conoscenza dei rischi che i dati di ognuno corrono sarei più sereno,” continua. “Probabilmente invece questo episodio diventerà l’ennesimo pretesto per un attacco politico che durerà un paio di giorni, per poi finire nel dimenticatoio di internet.”