Roma, 7 ago. (askanews) – ‘Non mi occupo delle indagini interne, quindi non sono in grado di conoscere i dettagli’ della vicenda, ma i due episodi di ‘presunto hackeraggio’ che hanno colpito Rousseau, la piattaforma informatica del Movimento 5 Stelle, potrebbero essere ‘collegati’. A crederlo è Vito Crimi, senatore, membro del comitato parlamentare che vigila sull’operato dell’intelligence (il Copasir) ed ex presidente del gruppo dei pentastellati a Palazzo Madama. ‘Parlo di presunta intrusione’, ha detto Crimi in un’intervista all’agenzia di stampa Cyber Affairs, ‘perché è difficile parlare di una vera e propria intrusione nei sistemi di Rousseau, piuttosto sembra abbiano avuto accesso ad un database con dati superficiali e anche vecchi, benché contenenti dati personali, quindi in ogni caso un fatto di rilievo, un vero e proprio reato’.
I DUE EPISODI Mercoledì era stato l’hacker ‘white hat’ (ovvero ‘buono’) Evariste Gal0is a dichiarare sul minisito #Hack5Stelle e su Twitter di aver scovato, con un attacco Sql Injection (una tecnica usata per attaccare applicazioni di gestione dati), una vulnerabilità che consentiva l’accesso a dati sensibili degli utenti. Giovedì sera, invece, un altro hacker che si fa chiamare rogue0, questa volta un cosiddetto ‘black hat’ (cioè non animato da buone intenzioni), ha diffuso sempre sul social network cinguettante il collegamento a file testuali che mostrano informazioni estratte dal database del sistema dei pentastellati. I due casi sopracitati, sebbene all’apparenza simili, sono in realtà molto diversi. Evariste Gall0is ha infatti agito sulla vecchia piattaforma, sottolineando che il suo non era ‘un attacco politico’, ma che il suo intento era solo quello di ‘avvisare gli iscritti’ che ‘i loro dati sensibili sono potenzialmente a rischio. Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema’, aveva aggiunto, sottolineando che la variabile non gli sembrava più vulnerabile. ‘Non scriverò qual era la variabile vulnerabile’, aveva concluso, ma non escludeva che potessero esserci ‘ulteriori vulnerabilità o errori nel sito’. Nonostante ciò un post dell’associazione Rousseau pubblicato sul blog di Beppe Grillo aveva rimarcato che l’hackeraggio ‘non è avvenuto durante votazioni’ e ha paventato la possibilità di ‘un’azione legale da intraprendere nei confronti dell’hacker’, che nel frattempo ha reso inaccessibili il suo sito e il suo account Twitter. Di tutt’altra natura l’offensiva rivendicata giovedì da Rogue0. Stavolta l’hacker ha direttamente pubblicato sulla piattaforma opensource Zerobin.net tabelle in formato testo che mostrano alcuni dati di iscritti e parlamentari – nome e cognome, codice fiscale, email, numero di telefono – con l’importo della donazione effettuata in Rousseau. Rogue ha poi scritto via Twitter sul profilo di Beppe Grillo (sono dentro da mesi e ho toccato di tutto…& i’m still there) – lasciando intendere di avere accesso anche alla nuova piattaforma presentata la scorsa settimana da Davide Casaleggio, ma non ci sono conferme – e su quello di alcuni parlamentari pentastellati, ai quali ha mostrato i link ai dati pubblicati. Infine, si è scagliato contro Evariste Gal0is, l’hacker che il giorno prima aveva rivelato la vulnerabilità scoperta rispettando la riservatezza dei dati e adottando canoni etici. A considerare attendibili le informazioni rese note dall’hacker è David Puente, un ‘debunker’ (cioè uno scopritore di ‘bufale’, con un trascorso da dipendente proprio presso la Casaleggio Associati. Sul suo blog scrive infatti di avere riconosciuto nel materiale sottratto da rogue0 alcune ‘espressioni che un programmatore all’interno della società utilizza spesso e che probabilmente, per testare il sistema, ha utilizzato e fatto registrare all’interno del database’. I dati sottratti, poi – ha confermato con un tweet Matteo Flora, esperto di sicurezza informatica e ad di The Fool – sarebbero stati messi in vendita. E tra le informazioni ci sarebbero anche quelle di Crimi.
LA SICUREZZA DI ROUSSEAU ‘Nel mio caso specifico’, ha detto ancora il senatore pentastellato a Cyber Affairs, ‘sono state prelevate e pubblicate informazioni risalenti ad almeno tre anni fa. Anche la mail e la password rubate erano quelle che usavo oltre tre anni fa. Il mio numero di telefono, poi, è pubblico. Ad ogni modo credo che se qualcuno dovesse acquistare quei dati si ritroverebbe un pugno di mosche, una sola per dirla in modo chiaro. Tante chiacchiere via social da parte del presunto hacker, ma ancora nessuna prova di aver fatto ciò che dice’. Nonostante gli hacker abbiano sfruttato una vulnerabilità non sofisticata, per Rousseau, evidenzia Crimi, ‘sono stati messi in campo tutti i sistemi di sicurezza possibili. Considerando che riceve migliaia di attacchi, a volte davvero pesanti, se gli unici dati che sono riusciti a scalfire sono qualche database vecchio, mi fa stare abbastanza tranquillo che Rousseau è sicuro. Ma in questo settore’, sottolinea, ‘ricordiamoci che nessuno può dirsi totalmente sicuro. Anche la Cia ha subito esfiltrazione di dati e anche aziende all’avanguardia nella sicurezza informatica sono state vittime di esfiltrazione di dati, basti pensare al caso recente di Hacking team. Solitamente è il fattore umano quello più pericoloso, un dipendente infedele ad esempio’.
Le votazioni sulla piattaforma, che nei prossimi mesi dovrebbero scegliere il candidato alla presidenza del Consiglio del Movimento, precisa il componente del Copasir, ‘però sono assolutamente sicure e sono presidiate costantemente durante il loro svolgimento. Da qui la necessità di avere orari di svolgimento delle votazioni limitati e definiti. In qualche caso, mi sembra di ricordare, che alcune votazioni siano state annullate in corso d’opera a causa di attacchi subiti durante il loro svolgimento. Ecco la necessità di un presidio costante’.
UNO STRUMENTO IN EVOLUZIONE Altri rilievi alla piattaforma del Movimento sono giunti anche da esperti informatici come Stefano Zanero, docente del Politecnico di Milano, che a Cyber Affairs ha detto che Rousseau ‘non può assolutamente definirsi come piattaforma di ‘voto’, in quanto non rispetta alcuna delle caratteristiche comunemente associate a ciò: i votanti non possono verificare nulla delle operazioni, non c’è alcuna forma di segretezza, ed in generale non viene garantita in alcun modo la libertà di voto’. Per Crimi, però, ‘Rousseau è molto più di un sistema di voto’. Il parlamentare rimarca: ‘Stiamo facendo una rivoluzione, siamo i primi al mondo ad aver avviato un processo che consente l’esercizio della democrazia diretta mediante la Rete, rendendo il singolo iscritto/votante libero da condizionamenti, da ostacoli – può votare da dove vuole e con qualunque dispositivo -, dalle deleghe. È chiaramente un processo lungo, proprio perché rivoluzionario, e necessita di passaggi graduali. La vera rivoluzione di Rousseau sta proprio nella sua gradualità . È un sistema che è iniziato in modo semplice, i parlamentari pubblicano le proposte di legge e gli iscritti possono commentare. Dopo che gli iscritti si sono abituati a questo tipo di partecipazione, che potremmo definire di base, si è aggiunta la funzionalità di proposta di legge da parte degli iscritti – Lex iscritti -, anche questa una cosa che a poco a poco gli utenti si sono abituati ad usare sempre meglio. Quindi sono stati introdotti degli strumenti di partecipazione come il ‘Call to action’, anche questi gradualmente saranno usati dagli utenti sempre meglio. Per non parlare dell’e-learning, e di tante altre funzionalità . E ancora tante altre sorprese ci saranno. Insomma un sistema che sta crescendo e che a poco a poco sta diventando un punto di riferimento. Quando sarà completo, e solo allora, invito gli esperti a giudicare se si può definire un sistema di voto o meno’.
COLPIRE IL MOVIMENTO? Dietro questi episodi, Crimi non esclude ci possano essere ‘non solo hacker o cyber criminali’, ma manovre per mettere in cattiva luce il Movimento. ‘Diamo sicuramente fastidio a molti. Diamo fastidio a quelli che dicono che la democrazia diretta non funziona, e preferiscono perseverare nella democrazia rappresentativa, quella fatta dai professionisti della politica che vivono solo di questo. Diamo fastidio ad un sistema di potere che agiva con ingranaggi ben oliati, siamo stati quei sassolini che hanno bloccato quegli ingranaggi di corruzione e clientelismo consolidati. Chi ha avviato questa operazione aveva un solo scopo, danneggiarci, ma in realtà ci sta rendendo ancora più forti’.
I PROSSIMI PASSI Cosa accadrà ora? ‘Non conosco’, dice Crimi, ‘i dettagli tecnici delle iniziative messe in campo, e non voglio conoscerli. Le operazioni di voto si svolgono sotto una attenta vigilanza e mettendo in campo ogni sistema possibile di sicurezza, e malgrado tantissimi attacchi arrivano durante i voti non si sono mai verificate delle intrusioni che possano averlo viziato. Ci proveranno ancora, lo sappiamo, ma non ci fermeranno, non fermeranno questa rivoluzione culturale’.
(Fonte: Cyber Affairs)