Trovare una forma di associazione che difenda e protegga, mediante tutta la forza comune, la persona e i beni di ciascun associato e per mezzo della quale ognuno, unendosi a tutti, non obbedisca tuttavia che a se stesso e rimanga libero come prima.
(Libro I, cap. VI: Il patto sociale, Il contratto sociale, Jean-Jacques Rousseau)
“Partecipa al cambiamento. Fai sentire la tua voce con Rousseau”. Così recita la homepage del sito https://rousseau.movimento5stelle.it/.
La piattaforma Rousseau è molto conosciuta in Italia, i membri del M5S la definiscono il “Sistema Operativo del MoVimento 5 Stelle” – erroneamente, considerando che non è altro che un sito web, un hub digitale per gli iscritti al Movimento. Rappresenta una novità assoluta nel panorama italiano, il primo esperimento di infrastruttura digitale volta all’esercizio della democrazia diretta. La nuova versione della piattaforma viene presentata il 2 agosto dello scorso anno e, stando alle dichiarazioni del coordinatore del progetto, Davide Casaleggio, Rousseau avrebbe avuto come obiettivo principale il completo supporto circa le dinamiche di votazione e partecipazione democratica. Addirittura, il suo fondatore pensava di raggiungere un milione di utenti entro il 2018. Un progetto innovativo e ambizioso. Se non fosse che, ventiquattro ore dopo il lancio della nuova versione, il sito viene hackerato.
Un white hat (un hacker “etico”, buono) che si fa chiamare Evariste Gal0is riesce a trovare delle vulnerabilità, così gravi da consentire l’accesso a credenziali e dati personali di tutti gli iscritti, e decide di informare gli sviluppatori del sito. Poche ore dopo, un altro hacker, dal nome r0gue_0 (stavolta un black hat, un hacker con condotta morale “discutibile”), viola le misure di sicurezza della piattaforma e minaccia di diffondere i dati raccolti. Riesce ad avere accesso, oltre alle informazioni sensibili degli iscritti di Rousseau, al database del blog di Beppe Grillo, collegato anche al sito ilblogdellestelle.it tramite login – se sei loggato su un sito, sei loggato anche nell’altro.
Il tipo di attacco di Evariste viene chiamato, in gergo tecnico, SQL Injection. Consiste nell’inserimento di righe di codice SQL malevolo in input, che vengono poi eseguite.
In particolare, il tipo di vulnerabilità riscontrata sulla piattaforma è di tipo XSS: permette a chiunque di iniettare codice all’interno di una pagina web, a causa di un mancato controllo sui valori che una variabile in input assume. È possibile, quindi, assegnare del codice a tale variabile, per poi farlo eseguire. Alcuni di questi attacchi sono evitabili con un semplicissimo plugin, NoScript.
Il white hat decide di non menzionare nello specifico la variabile critica che gli ha permesso di “bucare” il sistema, pensando che potesse essere usata da altri per eseguire il dump (copia) dei database di Rousseau. La tabella risultato dell’irruzione, pubblicata da Evariste, riguarda moltissimi dati sensibili degli utenti registrati sulla piattaforma: nome, cognome, indirizzo e-mail, numero di telefono, codice fiscale, presentazione. Tutto ciò che viene richiesto al momento della registrazione.
Altro punto critico riguarda le password. Generalmente andrebbero protette, con funzioni crittografiche più o meno sofisticate.
La sicurezza non è mai stata di casa. Il blog di Beppe Grillo memorizzava le password in chiaro nel database (ora il blog è gestito da un’altra webfarm) – per intenderci sarebbe come scrivere una password su un foglio di carta per poi metterla in una busta non sigillata. Una leggerezza simile è inaccettabile al giorno d’oggi. Usare degli funzioni di hashing per la protezione delle password dovrebbe essere considerata una misura di sicurezza scontata.
R0gue_0, il black hat responsabile del secondo attacco, ha avuto accesso alle password di tutti gli iscritti al blog di Beppe Grillo e le ha mostrate tramite un link su zerobin.net – fatto che mi è stato confermato da una vittima della diffusione.
Per quanto riguarda Rousseau, le password non vengono memorizzate in chiaro (per fortuna) ma le misure adottate sono estremamente remote. La funzione di cifratura utilizzata è la crypt(3) ed è basata su DES, un algoritmo particolarmente obsoleto. Con John the Ripper – un celebre programma per craccare password – riuscire ad ottenere il testo in chiaro è un gioco da ragazzi (secondo alcune prove lo si ottiene in 12 secondi).
Dopo il polverone mediatico sollevato a causa delle misure di sicurezza precarie, gli sviluppatori della piattaforma decidono di correre ai ripari, rassicurando gli iscritti e affermando di aver patchato (aggiornato) i nodi critici. Ironia della sorte, non tutte le vulnerabilità sono state risolte e, come se non bastasse, le patch apportate sono facilmente aggirabili (per chi volesse i dettagli tecnici, vi è un vero e proprio resoconto scritto da Evariste circa le criticità riscontrate).
Il Movimento Cinque Stelle decide di denunciare il white hat che ha violato i sistemi e avvisato i responsabili della piattaforma. Tutto ciò è semplicemente ridicolo.
La caccia a vulnerabilità o exploit – in particolare alla tipologia di exploit denominata “zero day”, ossia falle nella sicurezza conosciute solo dall’attaccante – mobilita ogni anno migliaia di esperti di sicurezza informatica, perché la loro scoperta paga molto bene. Nell’agosto del 2016 la Apple ha lanciato il suo primo programma di “bug bounty” (ricompense per la scoperta di bug) arrivando a pagare vulnerabilità zero day anche somme a sei cifre. Altre aziende che effettuano compravendita di exploit sono disposte a pagare anche milioni di dollari per vulnerabilità di questo tipo (Zerodium, una società statunitense che acquista bug “all’ingrosso”, offriva un milione di dollari a chi fosse in grado di effettuare il jailbreak di iOS 9 – per lo stesso problema Apple ne offriva a malapena 200.000). E come Apple (o Zerodium, che è una società “di terze parti”, non proprietaria del software compromesso) moltissime altre aziende offrono costose ricompense a chi sia in grado di trovare zero day: Facebook, Google, Amazon, Whatsapp.
E il Movimento Cinque Stelle denuncia un white hat che aveva trovato un potenziale zero day. Sarà forse una linea innovativa anche questa?
Marco Canestrari, ex impiegato della Casaleggio Associati – la società che ha gestito il blog di Beppe Grillo – mi parla del suo ruolo all’interno dell’organizzazione.
“Mi occupavo di contatti con i meetup sul territorio, di contenuti e, in piccola parte, di sviluppo […] la parte tecnica era affidata a Marco Maiocchi” – che dal maggio 2015 è diventato socio di Casaleggio Associati ed è entrato nel consiglio di amministrazione.
“All’interno della Casaleggio non vi è nessuna cultura in merito alla sicurezza”, continua Canestrari, “si parlava di questo tema solamente quando venivano attaccati […] semplicemente non si sentiva il bisogno di investire in questo campo”.
“Attacchi di questo genere”, aggiunge, “li subiscono dal 2008, tanto che ho ancora delle e-mail salvate che lo confermano […] vi era una completa mancanza di conoscenze tecniche in merito e il tutto veniva scaricato sul provider”.
La gestione della Piattaforma Rousseau è affidata ad una società (Associazione Rousseau) che vede ai suoi vertici il già citato Davide Casaleggio, figlio del fondatore del Movimento Cinque Stelle e della Casaleggio Associati, che è anche ai vertici di quest’ultima. Le due società, oltre ad avere la stessa sede fisica a Milano, vedono anche il passaggio di dipendenti dall’una all’altra (Pietro Dettori nel 2016 passa da essere dipendente di Casaleggio Associati a Rousseau).
Un partito che ha basato ogni sua sfaccettatura sul web non può farsi trovare impreparato. La tutela dei dati sensibili degli utenti dovrebbe essere una priorità.
Con la vittoria alle politiche del 4 marzo scorso, il Movimento si troverà a gestire un intero paese e non mi stupirei se un ingente numero di persone si registrasse sulla piattaforma per partecipare attivamente alla “cosa pubblica”.
Scommettereste sul fatto che i loro dati siano al sicuro?
La disillusione 