• AgoraVox su Twitter
  • RSS
  • Agoravox Mobile

 Home page > Tribuna Libera > Hacker attacco alla piattaforma del Movimento 5 stelle: a proposito di (...)

Hacker attacco alla piattaforma del Movimento 5 stelle: a proposito di scatole e pizze

Qualcuno potrebbe ricordarsi il mio primo intervento su questo blog. Se cosi non fosse questo è il link. Nessuno però, può sapere quale fu la genesi del post di fine maggio 2016. Come spesso accade a noi italiani, gastronomi innati, buongustai per definizione e ottime forchette, molti dei nostri accordi li concludiamo a tavola.

La cena aveva un vago sfondo letterario: dopo tredici anni era uscito il mio nuovo libro “Come pesci nella rete” e negli stessi giorni si era palesato in libreria il romanzo “l’insolita morte di Erio Codecà” di cui Aldo Giannuli era co-autore.

La nostra conoscenza risaliva a molti anni addietro causa comuni frequentazioni anarchiche, affini interessi culturali e una storia di piccioni che mi affascinò particolarmente. Non vi tedio oltre con i dettagli, ma fu proprio in quella occasione che il buon Giannuli mi chiese: “Cosa ne pensi di questa storia di Rousseau?” Immaginando si riferisse alla giovane piattaforma informatica del Movimento 5 Stelle, mi limitai a confessare la mia ignoranza e a promettergli che gli “avrei dato un’occhiata”.

In tutta onestà ero molto scettico e non poteva essere diversamente. Avevo appena sostenuto nel mio libro che fare atterrare un 747 su un’autostrada era possibile, ma non era normale e acquistare una lavatrice su internet era più o meno la stessa cosa. Figuriamoci la democrazia diretta. Tuttavia sono sempre pronto ad essere smentito dai fatti e da qualcuno più capace di me, così diedi la famosa occhiata. Utilizzai risorse pubbliche e qualche comando poco invasivo.

Raccolsi quel minimo di informazioni che mi permisero di capire quale fosse il sistema operativo e il database usato. Sulla base del versioni adottate, che lasciavano intendere qualche mancato aggiornamento, valutai che dovevano essere presenti almeno alcune vulnerabilità. Badate bene, la sola presenza di una debolezza non significa che il sistema sia permeabile a un attacco. Si possono adottare tecnologie, come gli IDS e gli IPS, che potrebbero impedire a un malintenzionato di sfruttare le suddette vulnerabilità.

Dal mio punto di vista, però, il sistema era potenzialmente attaccabile, ma non andai altre per alcune semplici ragioni: qualsiasi ulteriore attività poteva rappresentare un reato, nessuno mi aveva chiesto di fare delle verifiche di sicurezza su quel sistema, attività che costa tempo e fatica, infine non era un mio problema. Eppure pensavo che sarebbe stato utile lanciare qualche messaggio per fare intendere come l’esercizio della democrazia non trovasse in internet le adeguate garanzie. Da questa considerazione nacque il primo post. Per evitare di fornire qualsiasi indizio trasformai le vulnerabilità già presenti nel risultato di una brillante operazione di spionaggio informatico dei miei personaggi. In fondo il segnale che volevo mandare non era “Rousseau è un colabrodo”, ma attenzione a come utilizzate la rete.

Sono passati 14 mesi e qualcuno ha pensato gli servisse un po’ di pubblicità e quelle o forse altre vulnerabilità le ha sfruttate per davvero. Personalmente ho un’idea piuttosto rigida di come si dovrebbe fare un “responsible disclousure” di una vulnerabilità e di certo non prevede in alcun momento di rivolgersi alla stampa. La storia, al di là dei risvolti politici, appariva comunque fin troppo banale e il gentile EvaristeGal0is sosteneva di essersi limitato a un benevola sculacciata informatica. Questo fino a quando non entra in scena un secondo giocatore che si cela sotto il nickename di Rogue0.

A questo punto la storia diventa divertente perché rilascia anche delle interviste che sono dei veri capolavori. In particolare mi sono letto quella che di Wired. Premesso che, quando si tratta, di crimini on line distinguere chi millanta da chi dice la verità è un’impresa improba, ci sono alcuni passaggi che sono straordinari e meritano la giusta attenzione. Il primo molto significativo è: “Ne sono stato Admin per tanti anni, credo di potermi fregiare di questo nome” e arriva in risposta alla domanda “Ti presenti come Casaleggio e Associati. Cosa intendi?” Se si trattasse della verità tanto valeva si presentasse con nome e cognome. Posso immaginare aziende destrutturate, ma non una che non sia in grado di fornire alla polizia l’elenco di tutti i suoi dipendenti e collaboratori degli ultimi cinque o anche dieci anni, non fosse altro per quelle tediose ragioni fiscali che obbligano alla conservazione di documenti come buste paga, fatture e parcelle. Diciamo che nella peggiore delle ipotesi le indagini potrebbero restringersi a qualche centinaio di persone. Se poi parliamo di amministratori di sistema, come si qualifica Rogue0, ci sarebbe anche un provvedimento del Garante per la Protezione dei Dati datato 2008 che obbliga le imprese a conservare un elenco dei propri amministratori di sistema con tanto di dettagli anagrafici. Ecco che la lista dei sospettati potrebbe ridursi a poche decine di persone.

La seconda risposta deliziosa arriva per spiegare quale sia la situazione: “Io lì dentro ci stavo già, e da molto tempo. Ho dato due esempi di tabelle molto diverse solo per fare capire il lasso di tempo, come che gli host violati erano diversi. Se non era per il vostro amico wannabe, che ha voluto mettere il cappello bianco e provare a diventare famoso, non si veniva a conoscenza nemmeno della mia esistenza. Non avreste mai visto nulla, e io sarei rimasto lì indisturbato a continuare gli affari miei. Per tutto questo casino potete dunque ringraziare lui.” In buona sostanza si lamenta che uno scocciatore è venuto a disturbare il suo lavoro criminale.

Un “onesto” delinquente, che da molto tempo fa buoni affari vendendo i dati degli iscritti, si trova nell’occhio del ciclone perché qualcuno vuole dimostrare al mondo quanto è bravo? Scherziamo? Il risultato finale è stata la svendita dei database con comprensibile alterazione del criminale. Come ho scritto e detto più volte chi delinque on line è un serio professionista che valuta l’economia dello sforzo. Effettivamente avere scoperto una gallina dalle uova d’oro a vedersela sfuggire di mano in questo modo avrebbe irritato anche me.

Probabilmente se fosse stato qualcuno molto più bravo che riusciva a buttarlo fuori per continuare lui quegli affari, Rogue0 l’avrebbe presa più sportivamente, ma un tizio che lo fa gratis, giusto per la gloria è decisamente insopportabile. Tra l’altro la vendita dei dati poteva essere soltanto una parte del business.

Manipolare le consultazioni interne di certo sarebbe stato molto più lucroso: con tre o quattro deputati si poteva iniziare a pensare in grande e chissà che il mio racconto non avrebbe finito per trasformarsi in realtà. Detto questo veniamo alle note dolenti. Se la democrazia è una cosa seria e per un solo istante si immagina che la Rete sia lo strumento ideale per consentire la sua reale applicazione; allora la sicurezza diventa un “must” e non un “nice to have”. L’identificazione certa degli iscritti, come l’univocità delle utenze diventano obiettivi primari.

Questo per evitare di trasporre su scala globale una versione evoluta del “tastierismo parlamentare”. Immaginate di essere in grado di potere aprire mille account e quindi di esprimere altrettante preferenze, altro che “grande elettore”, Basta? Assolutamente no, perché sarebbe utile essere certi di chi ha votato e il minimo sindacale sarebbe una doppia autenticazione tipo quella che viene utilizzata per le disposizione bancarie fatte on line. Con questo abbiamo appena iniziato a percorrere la strada, perché poi ci sono altre misure di sicurezza indispensabili per evitare che un Rogue0 faccia i suoi porci comodi. Si tratta di un’adeguata configurazione della rete e dei dispositivi di protezione (firewall, antivirus, IDS, magari qualche soluzione di prevenzione delle cosiddette Advanced Persistent Threat) e di un monitoraggio permanente del traffico che l’attraversa. Poi ci sarebbe da strutturare un processo di aggiornamento costante dei sistemi, quello che tecnicamente si chiama patching, tale da evitare la presenza di vulnerabilità note. Questa attività dovrebbe essere corroborata da periodiche verifiche, cioè vulnerability assessment e penetration test: la stessa attività svolta su base volontaria dal simpatico EvaristeGal0is, ma questa volta governata e gestita correttamente. Abbiamo finito? Ancora no, perché una delle aree più critiche è quella dello sviluppo software, poiché fin troppo spesso sono le applicazioni realizzate dalle organizzazioni per se stesse ad avere il più alto grado di vulnerabilità. In pratica si tratta di mettere in piedi una serie di controlli e test prima che il software entri in produzione.

Aggiungiamo che la prima causa di violazioni informatiche è il fattore umano con la sua scarsa consapevolezza, quindi è necessario mantenere dei programmi di formazione e sensibilizzazione per chiunque utilizzi o lavori sui sistemi. A proposito di uomini ci sono, infine, le “piccole divinità” rappresentate dagli amministratori di sistema che possono sostanzialmente fare quello che gli pare.

Anche per tenere sotto controllo questi potenzialmente pericolosissimi soggetti ci sono sistemi di sicurezza da acquisire e processi da mettere in piedi. Potrei proseguire per parecchie altre pagine, ma il messaggio è molto semplice: se per secoli il prezzo della democrazia è stato pagato con il sangue, oggi quella on line si compra con gli euro, molti, a volte moltissimi per evitare che si tratti di una farsa o peggio di una truffa. Detto questo un’ultima nota a margine: il Garante per la Protezione dei Dati ha aperto un’istruttoria sul caso. Stai a vedere che alla fine della vicenda il Movimento 5 Stelle finisce per essere cornuto e mazziato.

L’attuale normativa in vigore prevede sanzioni in caso di mancata adozione di idonee misure di sicurezza a tutela dei dati personali (i troppi “ospiti” di Rousseau non depongono a favore della difesa) e di trattamento illecito dei dati (se effettivamente sul sistema erano presenti e attive utenze di soggetti non più iscritti potrebbe essere un problema dimostrare la liceità dei trattamenti).

Insomma forse è il caso di mettere da parte i sicari politici e gli scenari complottistici e fare una seria riflessione su quanto sia realizzabile l’idea di trasformare un’autostrada in un aeroporto.

Alessandro Curioni

Questo articolo è stato pubblicato qui

Lasciare un commento

Per commentare registrati al sito in alto a destra di questa pagina

Se non sei registrato puoi farlo qui


Sostieni la Fondazione AgoraVox


Pubblicità




Pubblicità



Palmares

Pubblicità