A proposito di scatole e pizze

Cari lettori, mi scuso per il ritardo nella ripresa delle attività del sito, ma sto lavorando a due libri e ho bisogno ancora di alcuni giorni di impegno. Portate pazienza, continuate a seguire il sito e buona lettura con questo interessante pezzo di Alessandro Curioni! A.G.

Qualcuno potrebbe ricordarsi il mio primo intervento su questo blog. Se cosi non fosse questo è il link. Nessuno però, può sapere quale fu la genesi del post di fine maggio 2016. Come spesso accade a noi italiani, gastronomi innati, buongustai per definizione e ottime forchette, molti dei nostri accordi li concludiamo a tavola.

La cena aveva un vago sfondo letterario: dopo tredici anni era uscito il mio nuovo libro “Come pesci nella rete” e negli stessi giorni si era palesato in libreria il romanzo “l’insolita morte di Erio Codecà” di cui Aldo Giannuli era co-autore.

La nostra conoscenza risaliva a molti anni addietro causa comuni frequentazioni anarchiche, affini interessi culturali e una storia di piccioni che mi affascinò particolarmente. Non vi tedio oltre con i dettagli, ma fu proprio in quella occasione che il buon Giannuli mi chiese: “Cosa ne pensi di questa storia di Rousseau?” Immaginando si riferisse alla giovane piattaforma informatica del Movimento 5 Stelle, mi limitai a confessare la mia ignoranza e a promettergli che gli “avrei dato un’occhiata”.

In tutta onestà ero molto scettico e non poteva essere diversamente. Avevo appena sostenuto nel mio libro che fare atterrare un 747 su un’autostrada era possibile, ma non era normale e acquistare un lavatrice su internet era più o meno la stessa cosa. Figuriamoci la democrazia diretta. Tuttavia sono sempre pronto ad essere smentito dai fatti e da qualcuno più capace di me, così diedi la famosa occhiata. Utilizzai risorse pubbliche e qualche comando poco invasivo.

Raccolsi quel minimo di informazioni che mi permisero di capire quale fosse il sistema operativo e il database usato. Sulla base del versioni adottate, che lasciavano intendere qualche mancato aggiornamento, valutai che dovevano essere presenti almeno alcune vulnerabilità. Badate bene, la sola presenza di una debolezza non significa che il sistema sia permeabile a un attacco. Si possono adottare tecnologie, come gli IDS e gli IPS, che potrebbero impedire a un malintenzionato di sfruttare le suddette vulnerabilità.

Dal mio punto di vista, però, il sistema era potenzialmente attaccabile, ma non andai altre per alcune semplici ragioni: qualsiasi ulteriore attività poteva rappresentare un reato, nessuno mi aveva chiesto di fare delle verifiche di sicurezza su quel sistema, attività che costa tempo e fatica, infine non era un mio problema. Eppure pensavo che sarebbe stato utile lanciare qualche messaggio per fare intendere come l’esercizio della democrazia non trovasse in internet le adeguate garanzie. Da questa considerazione nacque il primo post. Per evitare di fornire qualsiasi indizio trasformai le vulnerabilità già presenti nel risultato di una brillante operazione di spionaggio informatico dei miei personaggi. In fondo il segnale che volevo mandare non era “Rousseau è un colabrodo”, ma attenzione a come utilizzate la rete.

Sono passati 14 mesi e qualcuno ha pensato gli servisse un po’ di pubblicità e quelle o forse altre vulnerabilità le ha sfruttate per davvero. Personalmente ho un’idea piuttosto rigida di come si dovrebbe fare un “responsible disclousure” di una vulnerabilità e di certo non prevede in alcun momento di rivolgersi alla stampa. La storia, al di là dei risvolti politici, appariva comunque fin troppo banale e il gentile EvaristeGal0is sosteneva di essersi limitato a un benevola sculacciata informatica. Questo fino a quando non entra in scena un secondo giocatore che si cela sotto il nickename di Rogue0.

A questo punto la storia diventa divertente perché rilascia anche delle interviste che sono dei veri capolavori. In particolare mi sono letto quella che di Wired. Premesso che, quando si tratta, di crimini on line distinguere chi millanta da chi dice la verità è un’impresa improba, ci sono alcuni passaggi che sono straordinari e meritano la giusta attenzione. Il primo molto significativo è: “Ne sono stato Admin per tanti anni, credo di potermi fregiare di questo nome” e arriva in risposta alla domanda “Ti presenti come Casaleggio e Associati. Cosa intendi?” Se si trattasse della verità tanto valeva si presentasse con nome e cognome. Posso immaginare aziende destrutturate, ma non una che non sia in grado di fornire alla polizia l’elenco di tutti i suoi dipendenti e collaboratori degli ultimi cinque o anche dieci anni, non fosse altro per quelle tediose ragioni fiscali che obbligano alla conservazione di documenti come buste paga, fatture e parcelle. Diciamo che nella peggiore delle ipotesi le indagini potrebbero restringersi a qualche centinaio di persone. Se poi parliamo di amministratori di sistema, come si qualifica Rogue0, ci sarebbe anche un provvedimento del Garante per la Protezione dei Dati datato 2008 che obbliga le imprese a conservare un elenco dei propri amministratori di sistema con tanto di dettagli anagrafici. Ecco che la lista dei sospettati potrebbe ridursi a poche decine di persone.

La seconda risposta deliziosa arriva per spiegare quale sia la situazione: “Io li dentro ci stavo già, e da molto tempo. Ho dato due esempi di tabelle molto diverse solo per fare capire il lasso di tempo, come che gli host violati erano diversi. Se non era per il vostro amico wannabe, che ha voluto mettere il cappello bianco e provare a diventare famoso, non si veniva a conoscenza nemmeno della mia esistenza. Non avreste mai visto nulla, e io sarei rimasto lì indisturbato a continuare gli affari miei. Per tutto questo casino potete dunque ringraziare lui.” In buona sostanza si lamenta che un scocciatore è venuto a disturbare il suo lavoro criminale.

Un “onesto” delinquente, che da molto tempo fa buoni affari vendendo i dati degli iscritti, si trova nell’occhio del ciclone perché qualcuno vuole dimostrare al mondo quanto è bravo? Scherziamo? Il risultato finale è stata la svendita dei database con comprensibile alterazione del criminale. Come ho scritto e detto più volte chi delinque on line è un serio professionista che valuta l’economia dello sforzo. Effettivamente avere scoperto un gallina dalle uova d’oro a vedersela sfuggire di mano in questo modo avrebbe irritato anche me.

Probabilmente se fosse stato qualcuno molto più bravo che riusciva a buttarlo fuori per continuare lui quegli affari, Rogue0 l’avrebbe presa più sportivamente, ma un tizio che lo fa gratis, giusto per la gloria è decisamente insopportabile. Tra l’altro la vendita dei dati poteva essere soltanto una parte del business.

Manipolare le consultazioni interne di certo sarebbe stato molto più lucroso: con tre o quattro deputati si poteva iniziare a pensare in grande e chissà che il mio racconto non avrebbe finito per trasformarsi in realtà. Detto questo veniamo alle note dolenti. Se la democrazia è una cosa seria e per un solo istante si immagina che la Rete sia lo strumento ideale per consentire la sua reale applicazione; allora la sicurezza diventa un “must” e non un “nice to have”. L’identificazione certa degli iscritti, come l’univocità delle utenze diventano obiettivi primari.

Questo per evitare di trasporre su scala globale una versione evoluta del “tastierismo parlamentare”. Immaginate di essere in grado di potere aprire mille account e quindi di esprimere altrettante preferenze, altro che “grande elettore”, Basta? Assolutamente no, perché sarebbe utile essere certi di chi ha votato e il minimo sindacale sarebbe una doppia autenticazione tipo quella che viene utilizzata per le disposizione bancarie fatte on line. Con questo abbiamo appena iniziato a percorrere la strada, perché poi ci sono altre misure di sicurezza indispensabili per evitare che un Rogue0 faccia i suoi porci comodi. Si tratta di un’adeguata configurazione della rete e dei dispositivi di protezione (firewall, antivirus, IDS, magari qualche soluzione di prevenzione delle cosiddette Advanced Persistent Threat) e di un monitoraggio permanente del traffico che l’attraversa. Poi ci sarebbe da strutturare un processo di aggiornamento costante dei sistemi, quello che tecnicamente si chiama patching, tale da evitare la presenza di vulnerabilità note. Questa attività dovrebbe essere corroborata da periodiche verifiche, cioè vulnerability assessment e penetration test: la stessa attività svolta su base volontaria dal simpatico EvaristeGal0is, ma questa volta governata e gestita correttamente. Abbiamo finito? Ancora no, perché una delle aree più critiche è quella dello sviluppo software, poiché fin troppo spesso sono le applicazioni realizzate dalle organizzazioni per se stesse ad avere il più alto grado di vulnerabilità. In pratica si tratta di mettere in piedi una serie di controlli e test prima che il software entri in produzione.

Aggiungiamo che la prima causa di violazioni informatiche è il fattore umano con la sua scarsa consapevolezza, quindi è necessario mantenere dei programmi di formazione e sensibilizzazione per chiunque utilizzi o lavori sui sistemi. A proposito di uomini ci sono, infine, le “piccole divinità” rappresentate dagli amministratori di sistema che possono sostanzialmente fare quello che gli pare.

Anche per tenere sotto controllo questi potenzialmente pericolosissimi soggetti ci sono sistemi di sicurezza da acquisire e processi da mettere in piedi. Potrei proseguire per parecchie altre pagine, ma il messaggio è molto semplice: se per secoli il prezzo della democrazia è stato pagato con il sangue, oggi quella on line si compra con gli euro, molti, a volte moltissimi per evitare che si tratti di una farsa o peggio di una truffa. Detto questo un’ultima nota a margine: il Garante per la Protezione dei Dati ha aperto un’istruttoria sul caso. Stai a vedere che alla fine della vicenda il Movimento 5 Stelle finisce per essere cornuto e mazziato.

L’attuale normativa in vigore prevede sanzioni in caso di mancata adozione di idonee misure di sicurezza a tutela dei dati personali (i troppi “ospiti” di Rousseau non depongono a favore della difesa) e di trattamento illecito dei dati (se effettivamente sul sistema erano presenti e attive utenze di soggetti non più iscritti potrebbe essere un problema dimostrare la liceità dei trattamenti).

Insomma forse è il caso di mettere da parte i sicari politici e gli scenari complottistici e fare una seria riflessione su quanto sia realizzabile l’idea di trasformare un’autostrada in un aeroporto.

Alessandro Curioni

Ti potrebbe interessare inoltre

aldo giannuli, alessandro curioni, buchi rousseau, m5s, rousseau, sicurezza informatica

Aldo Giannuli

Storico, è il promotore di questo, che da blog, tenta di diventare sito. Seguitemi su Twitter o su Facebook.

Comments (8)

  • Allora ditelo

    Rispondi

    Un testo ripubblicato sul blog che nell’ultimo paragrafo cautela contro i sistemi di voto online:
    http://www.beppegrillo.it/m/2014/06/broglio_si_broglio_no_la_terra_dei_cachi.html

    La presenza di un testo che concludesse con un messaggio del genere in tale contesto mi ha indotto a pensare per quali motivi i gatekeeper non lo avessero scartato:
    http://www.pensierocritico.eu/pregiudizio-di-conferma.html

    Ma vorrei lasciare gli strenui sostenitori del mandato imperativo (mVsicisti non “pianisti”) al loro destino per richiamare l’attenzione sulla corsa all’accessibilità online dei servizi (e database) della PA in un paese che già in passato è stato teatro di cospirazioni di dossieraggio e intercettazioni illegali.

    Secondo http://breachlevelindex.com/ il 20% di intrusioni dal 2013 riguardano settore pubblico. Il report per l’anno 2016 assegna agli USA l’80% delle intrusioni.

    Non sembra improbabile che dal numero di intrusioni “note” gli altri paesi appaiano più sicuri degli USA?

    «La parte più interessante dell’intero rapporto è sicuramente il risultato – presentato e analizzato nel quarto capitolo – della ricerca sul campo effettuata dal Centro con un questionario anonimo nelle pubbliche amministrazioni, nelle aziende di servizi, nelle industrie e nel settore finanziario italiani. Ne emerge un quadro di non piena consapevolezza, da parte di questi settori, di essere obiettivi sensibili ad attacchi cyber che potrebbero causare notevoli perdite in termini economici e tecnologici.»
    https://www.sicurezzanazionale.gov.it/sisr.nsf/sicurezza-in-formazione/la-cyber-security-in-italia.html

  • Marco Barone

    Rispondi

    Il fatoo di essere stato M5S ad impadronirsi e lanciare per primo di una piattaforma di votazioni online (una cosa pericolosissima) ha permesso che la sua sicurezza venisse messa in discussione. E magari anche dalla grande stampa si unirà giustamente al coro.
    Probabilmente ciò, che sia stato fatto intenzionalmente o no, ha avuto una azione preventiva. Immaginate se le élite avessero piazzato per prime e fatto passare in costituzione un sistema di votazione totalmente informatizzato. Nel silenzio totale della stampa…

  • Persio Flacco

    Rispondi

    Articolo ben scritto da persona competente. Davide Casaleggio ha un problema: dai capi progetto all’ultimo dei tester, passando per gli sviluppatori, il suo gruppo ha mostrato tali lacune nel mettere a punto la piattaforma da essere sicuramente inaffidabile. Il M5S ha investito moltissima della sua credibilità politica nella partecipazione online alla piattaforma Rousseau, ma non ha saputo tutelarla.
    Questo dipende dalla prima delle vulnerabilità del Movimento: avere dei guru al vertice.
    Se Davide Casaleggio afferma che Rousseau è sicura e affidabile nessuno osa mettere in dubbio la sua parola. Se Beppe Grillo attribuisce ai “criminali” prezzolati la violazione del sito nessuno osa contraddirlo indicaano che le debolezze della piattaforma erano un invito all’hackeraggio.
    Così se Alessandro Curioni si avvede di certi deficit di sicurezza e li comunica pubblicamente molti mesi prima della violazione, ad Alessandro Curioni vengono attribuiti secondi fini e il suo messaggio viene ignorato in quanto proveniente da un sospetto nemico del Movimento.
    A questo genere di vulnerabilità purtroppo non c’è rimedio se non archiviando il sistema dei guru.

    • Roberto B.

      Rispondi

      Difficile da comprendere questo commento.
      1) “Allora ditelo” e “!Marco Barone”, gli unici altri due commentatori, non hanno fatto nessuna illazione su Curioni; mi correggano se sbaglio.
      2) Ammettiamo pure che il team di collaboratori sia di così scarso livello (ma chi lo dice ha conoscenza diretta di ciò?): Casaleggio ne sarebbe responsabile, sarebbe cioè criticabile per non aver saputo scegliere le persone giuste e/o per non saperle guidare, ma è un imprenditore, l’azienda è sua, cosa c’entra la qualifica di “guru”. E, ancora di più, cosa c’entra Grillo. E, soprattutto, cosa significa “archiviare il sistema dei guru”? Questa sarebbe la soluzione tecnica per rendere inattaccabile Rousseau ai Malintenzionati?
      3) Ammettiamo anche che chi ha violato I sistemi della Casaleggio Associati non sia prezzolato da qualcuno che intende danneggiare il M5S. Che però siano un criminali è lo stesso comportamento di Curioni che lo testimonia, quando spiega di aver testato il sistema ma di esser arrivato fino ad un certo punto e poi essersi fermato, proprio per non commettere un’illecito (anche Curioni mi corregga, se sbaglio).
      4) Bisognerebbe poi anche spiegare quali potevano essere gli obiettivi degli hacker, atteso che non si sono limitati a “testare” la robustezza dei sistemi, magari per il proprio divertimento, per dimostrare la propria bravura e per dimostrarne la inaffidabilità, ma ne hanno anche trafugato e resi pubblici i dati (e chissà a chi hanno dato la versione completa!): per quale motivo?

      A commento dell’ottimo articolo di Curioni, mi limito solo a dire che non esistono sistemi che non possano essere violati. Sarebbe come se qualcuno fabbricasse una porta a prova di fabbro, che cioè potesse essere aperta solo con la chiave della sua serratura; persa quella, nessuno mai potrebbe più entrare in casa? Quindi, i ladri ci saranno sempre e sempre riusciranno a scassinare le porte, qualsiasi sia la serratura utilizzata.

      • Persio Flacco

        Rispondi

        Roberto B, non ho fatto illazioni su Curioni, che scrive di aver “valutato” la piattaforma Rousseau senza addentrarsi troppo nell’analisi. Ho solo detto che, per come è strutturato il M5S, se ne avesse testato in modo più approfondito la sicurezza, avesse rilevato falle e lo avesse comunicato al Movimento, sarebbe stato guardato con sospetto, se non con avversione, per il solo fatto di aver messo in dubbio le capacità della Casaleggio & C.
        I militanti di una certa categoria di organizzazioni, che fondano la loro coesione sulla fede nei leader (guru), difficilmente accettano questo genere di critiche, anche quando siano fatte per il loro bene. A mio avviso questo atteggiamento rappresenta per il M5S una “vulnerabilità” ben più grave di quante ne possa avere Rousseau. E spero che la risolvano prima di imbattersi in un “hacker politico” malevolo.
        Sarebbe un peccato, perché il movimento ha portato dei cittadini onesti nelle istituzioni, e questo è un valore che compensa ampiamente anche l’impreparazione.
        Riguardo alla sicurezza informatica sono d’accordo: non esiste un sistema totalmente inattaccabile. Ma la tipologia di attacco usata con successo contro Rousseau dimostra che chi ha sviluppato la piattaforma non ha adottato nemmeno i più semplici accorgimenti per proteggerla. E’ noto che se i campi di input non filtrano certi caratteri per un malintenzionato è possibile farci passare una query strutturata per interrogare il database e acquisire le informazioni per interrogazioni ancora più mirate. Come è anche noto che se le query dal web al database sono presentate con diritti di accesso privilegiati l’intero database è a disposizione dell’attaccante. Per limitarsi a due sole debolezze che non dovrebbero mai essere presenti su una piattaforma politicamente importante come quella del M5S.

      • Allora ditelo

        Rispondi

        «mi limito solo a dire che non esistono sistemi che non possano essere violati.» — Roberto
        https://it.wikipedia.org/wiki/Razionalizzazione_(psicologia)

        Io mi limiterei a ponderare il ruolo funzionale di una “democrazia diretta” ove questioni cruciali per il proprio funzionamento non siano di attivo interesse dei partecipanti.

        E il tormentone del “ciucciate la matita” nella sua vitalità ha messo il dito proprio nella piaga.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Sito realizzato da Tanoma|the HUB