Formiche: Attacco hacker a Rousseau, perché la sicurezza cyber investe la democrazia

Attacco hacker a Rousseau, perché la sicurezza cyber investe la democrazia

La piattaforma del Movimento 5 Stelle è stata nuovamente attaccata. Formiche.net ha contattato due esperti di sicurezza informatica per capire cosa sta succedendo e quali sono i rischi per il futuro

Come anticipato ieri da Formiche.net, la piattaforma Rousseau è nuovamente sotto attacco. Dopo una serie di tweet di “avviso” pubblicati il 2 e il 4 settembre, a partire dalla tarda serata di ieri l’utente di twitter, r0gue_0 – e intruso su Rousseau – ha pubblicato una serie di messaggi in cui ha mostrato, da una parte, i privilegi del suo user all’interno del database di Rousseau, per poi rincarare la dose, linkando a un sito in cui ha messo in chiaro di avere l’accesso a varie parti di quello stesso database e di poterlo – volendo – modificare.

L’attacco è avvenuto proprio in coincidenza con una doppia votazione sulla piattaforma, e Formiche.net ha contattato due esperti di sicurezza informatica, Corrado Giustozzi e Arturo Di Corinto, per capire quali rischi ci siano per la votazione in corso e quali, invece, a più ampio raggio, sui dati degli utenti in possesso dell’Associazione Rousseau, che gestisce il cosiddetto (anche se impropriamente) sistema operativo dei 5 Stelle.

“La piattaforma è evidentemente ancora insicura nonostante le segnalazioni che sono state fatte in passato e quindi sono a rischio tutte le attività che si svolgono al suo interno”, ha spiegato l’esperto informatico Corrado Giustozzi. Dal primo tweet pubblicato ieri da r0gue_0 “sembra che l’intruso abbia ottenuto i privilegi dell’amministratore del database, quindi la facoltà di accedere a questa base di dati con privilegi elevati, ossia con la possibilità di vedere le tabelle, modificarle e cancellarle”. Successivamente, r0gue_0 ha condiviso il link a un sito in cui è possibile leggere, spiega ancora Giustozzi, “un indice delle tabelle che costituiscono il database, quindi ogni riga di quell’elenco è il nome di una tabella ulteriore con un blocco strutturato di dati. Chiaramente un database non è composto da un solo file, ma i dati vengono distribuiti su più tabelle che poi sono collegate tra loro con una serie di riferimenti incrociati”.

Secondo l’esperto, “r0gue_0 ha pubblicato l’elenco delle tabelle, ma non i contenuti, per dire: ‘Vedete, io ho l’accesso alla struttura del database, quindi posso vedere il dietro le quinte’. I contenuti non sono stati resi pubblici salvo una sola tabella che contiene i nomi, gli indirizzi email e gli importi di una serie di donatori, mentre i contenuti delle altre tabelle non sono stati pubblicati”. Questo significa che r0gue_0 ha l’accesso anche alle altre tabelle? “È verosimile, anche se finché non c’è una prova non si può esserne certi”.

In queste ore, però, è in corso una votazione su una piattaforma, secondo gli esperti, insicura. “La votazione in corso è potenzialmente nulla”, afferma il giornalista e saggista Arturo Di Corinto, che nei messaggi di r0gue_0 legge una minaccia ulteriore: “Se ho capito bene quello che ho visto, questo signore ha dato i privilegi di super user a tutti gli utenti della piattaforma. Non è più soltanto lui un super user, e questo è quello che si dice in rete, nei vari forum. Lui ha dato questi privilegi agli utenti della piattaforma Rousseau, se a tutti non lo so, ma è quello che si dice da ieri sera a stamattina. Poi non sono cose che arrivano su Facebook e su Twitter”.

La piattaforma Rousseau, aggiunge Di Corinto, “è uno strumento potenzialmente eccezionale e sicuramente molto importante dal punto di vista della democrazia elettronica, però non funziona”. Il problema principale della piattaforma, secondo il giornalista, è che non sia mai stata consentita una verifica indipendente del codice su cui è stata costruita. “Finché Casaleggio non mi fa vedere come funziona io non sarò in grado di dire mai se è una cosa sicura oppure no, quindi per adesso, siccome sono pessimista, penso che sia insicura”. Il problema, aggiunge, è che “il primo arrivato è in grado di cambiare i valori dentro quella piattaforma e di fatto cambiare i destini di un Paese, della politica di un Paese, la formazione di un governo e la scelta dei rappresentati del partito che usa quella piattaforma”.

La soluzione, spiega il professore, non è semplice e non riguarda solo la piattaforma Rousseau, ma tutte le realtà che si muovono online e la democrazia digitale in generale. Il merito di queste azioni di disvelamento, prosegue, è aver “acceso un faro sul tema della sicurezza informatica, benché non si possano condividere le modalità con cui è stato fatto”. L’errore di Casaleggio, invece, è stato perseguire una scelta di “security through obscurity”, sicurezza attraverso l’oscuramento, anziché una operazione di sicurezza attraverso l’esposizione, la visione collettiva, che è quello che fa chi produce software. “Non deve essere oscuro il codice – specifica Di Corinto -, ma la chiave del codice. È come la serratura di casa, tutti la vedono e tutti possono accedere, ma se non hanno la chiave non aprono la porta. Il software la stessa cosa: tu devi sapere come funziona il software, poi ci metti il lucchetto”.

“Le aziende da sole, i parlamenti, le polizie singolarmente non ce la fanno a garantire la sicurezza dei dati personali che ci identificano e rappresentano in quanto cittadini, contribuenti, elettori, lavoratori – conclude il saggista -. Il nostro sé digitale che è costituito da questi dati, ci precede sempre e la manipolazione dei dati personali può influenzare la nostra quotidianità. Quindi se non sono protetti adeguatamente, si è esposti a un potere incontrollato”.

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.