Hacking Rousseau for dummies.

La bolla mediatica su Rousseau sta per esaurirsi, il Ferragosto incombe. Gli italiani già normalmente si interessano poco ad argomenti del genere, figuriamoci  col caldo torrido, ma proviamo lo stesso a fare il punto, sicuramente c’è qualcuno in ascolto. Bisogna ricordare che il caos è iniziato quando Davide Casaleggio ha presentato la nuova versione di Rousseau, ispirando un giornalista, straniero si capisce, a fare domande che in Italia non si fanno, come ai tempi di Berlusconi.

Qui c’è un riassunto abbastanza tecnico:  qui invece un articolo di ieri, utilissimo a smontare il tentativo di sminuire la faccenda da parte dei grillini, che parlano di “vecchia versione di Rousseau”. Le dichiarazioni di Di Maio e Di Battista sembrano tarate apposta per rassicurare l’elettorato medio: “L’attacco hacker non ha manipolato alcuna votazione, è questo quello che si è voluto far passare. Si è avuto accesso solo ad alcuni database, il che è un reato e infatti sono state depositate delle denunce in Procura” dice il webmaster da Pomigliano, mentre il Che rossobruno incalza con “Il problema esiste, eccome. Ma mi stupisco che sia diventato un tema di polemica politica, visto che anche i sistemi informatici della Nasa e di multinazionali enormi sono stati attaccati dagli hacker”.

Se volessimo rispondere a tono ai due politicanti di lungo corso del M5S, nonché membri del Direttorio, potremmo dire con assoluta leggerezza “yo N00bs h4v3 b33n p\/\/ne|)”. Non è dato sapere se i due sono abbatanza l33t da capirlo, forse qualcuno ai piani alti dell’azienda potrebbe spiegarglielo. Gli stessi che mettono admin/admin come login e password all’account principale, magari.

Come descrive bene questo altro articolo,  in seguito alla prima violazione non c’è stato modo di imbroccarne una giusta in quel di Milano, dove l’azienda-partito tiene i suoi server. Mentre si è cercato di rassicurare con comunicati stampa, è successo di tutto: database pubblicati in chiaro, dati sensibili diffusi urbi et orbi, dimostrazione dell’alterazione dei dati stessi, clamoroso in tal senso il mostrare Matteo Renzi come donatore di 1.000.000€ a Rousseau.

Un discreto riassunto si può leggere qui.  Chi non avesse confidenza con termini come ethical hacking, white hat e black hat, ecc., può fare un salto qui.

Personalmente, non essendo un esperto di sicurezza, ma avendo una conoscenza di base in campo informatico, mi limiterò a una serie di osservazioni pratiche.

  • i database sono stati manipolati, a dimostrazione che chiunque abbia potuto farlo anche in altri momenti, sia tramite attacco esterno, sia agendo internamente, da talpa, da scontento, da attivista con mire poco oneste
  • avere le password in chiaro all’interno del sistema, oltretutto un sistema con una maggioranza di utenti inattivi, utenti bannati, ecc., significa che chiunque avrebbe potuto usare quegli account per alterare le votazioni, sia dall’esterno che dall’interno
  • nella transizione da Blog di Grillo a Blog delle Stelle, la dichiarazione di privacy è cambiata, nel secondo caso non si fa più riferimento alla Casaleggio Associati, eppure sappiamo che i portali e le piattaforme che questa gestisce usano sostanzialmente stessi dati e dietro ci sono le stesse persone: questa non è trasparenza, ma forse il danno più grave sarà rendere conto ai partner esterni delle mancanze – qui e qui per un confronto
  • l’uso dei dati personali da parte di una società commerciale implica un grado di sicurezza adeguato, mentre qui abbiamo un gruppo che usa login/password come admin/admin; sembra di essere tornati agli anni ’90, del resto un certo atteggiamento vaporware è sempre stato riscontrabile nel tecno-utopismo misti-magico di Casaleggio e co.
  • spesso in passato sono stati osservati movimenti di voti poco chiari nelle dinamiche interne al M5S, a detta di molti attivisti questo è proprio il risultato di avere account creati ad hoc per poter manipolare le votazioni; in tal senso va ricordato che i vecchi capi meetup spesso detenevano copie di documenti d’identità e dati di altri attivisti, simpatizzanti, firmatari di appelli, banchetti pubblici ecc. Adesso sarebbe il caso che questo nodo venisse al pettine.
  • la struttura proprietaria e verticistica che controlla il M5S in alcuni casi si è trovata in contatto con esperti informatici e hacker – Vittorio Bertola e Denis Roio su tutti – che hanno cercato di influire, auspicando una transizione verso strumenti informatici di natura aperta, che possono essere migliorati attraverso un processo collaborativo. L’azienda non ha mai voluto adottare questo tipo di soluzioni, il perché potrebbe sembrare evidente, ma non andiamo oltre.

In anni di lavoro e di analisi sul M5S ho spesso incontrato un certo tipo di militante, decisamente vicino all’adepto da setta religiosa, che rispetto a un ragionamento logico-razionale semplicemente non ci sta. La risposta di questi sarà sempre “chi l’ha detto che sicurezza significa questa roba qui? Siamo in democrazia, significa quello che diciamo noi!”

Ovvero, quello che dicono Beppe e Co. Prepariamoci a un futuro governo a 5 stelle, nel quale il concetto di privacy e sicurezza sarà molto vicino alla trasparezza assoluta, un panopticon digitale al confronto del quale il Datagate sembrerà una bazzecola.