giovedì 3 agosto 2017

Hacker online dimostra la vulnerabilità di Rousseau: "Ho bucato il sito, dati a rischio"

repubblica.it

Nomi, mail, donazioni ma anche i dati sulle votazioni online. E il limite di otto caratteri per le password rende le votazioni 'manipolabili' anche con pc poco potenti.

Hacker online dimostra la vulnerabilità di Rousseau: "Ho bucato il sito, dati a rischio"

Nemmeno 24 ore e la nuova versione di Rousseau, la piattaforma del Movimento 5 Stelle, è già stata hackerata, seppur a solo fine dimostrativo e senza voler recare danni agli utenti. Evariste Gal0is (questo il nome d'arte dell'esperto di sicurezza che ne ha rivendicato la paternità) ha fatto sapere - pubblicando un sito ad hoc, #hack5stelle, e diffondendo i risultati sui social media - l'esistenza di una vulnerabilità attaccabile con una sql Injection, ovvero un attacco che può ottenere informazioni da un database "a obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata.

Gal0is premette: "Questo non è un attacco politico. Ho aperto questo sito solamente per avvisare gli iscritti i loro dati sensibili sono potenzialmente a rischio". Il rischio dovrebbe essere stato risolto, spiega Galois: "Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito". 

Tra le informazioni che è stato possibile 'rubare' ad esempio i dati sulle donazioni, per la precisione "nome, cognome, e-mail, città, importo, tipologia di pagamento". Ma soprattutto tra le tabelle del database c'erano anche quelle relative alle votazioni online, e questo "non rende sicuro il sistema di votazione online adottato".

Gal0is sottolinea un altro problema di Rousseau, nella sua versione attuale: la richiesta di avere password di almeno otto lettere, una cifra che invoglia a scegliere una data e provare un attacco di forza bruta: "C'è un programma - continua il sito - che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online". Che spesso vengono decise sulla base di poche decine di voti

Hacker online dimostra la vulnerabilità di Rousseau: "Ho bucato il sito, dati a rischio"
 Davide Casaleggio alla presentazione di Rousseau

Ci sono altre vulnerabilità simili nel sito? "Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un'idea".

Gal0is consiglia di "cambiare la password dell'account. Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all'interno di queste password avete usato dati personali come data di nascita o altre informazioni personali". E ricorda: "È consigliato scegliere sempre password lunghe, molto lunghe, anche se facili da memorizzare, ma stando attenti a non usare una qualche vostra informazione facilmente reperibile. Se il numero di caratteri della password è limitato dal webmaster scegliete una password complessa".

E conclude: "Mi riallaccio alla premessa iniziale: questa pagina non è un attacco politico. È stata pubblicata solo con l'intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo, essendo quei dati i loro".


Rousseau, la prova della nuova piattaforma del M5s: un salto in avanti, ma sempre al buio

repubblica.it
 di TIZIANO TONIUTT

· STELLE E BUIO
A livello tecnico, Rousseau non è un "sistema operativo" termini che in informatica individuano tutt'altra tipologia di software. Ma come hub digitale delle attività del M5s fa esattamente quello che farebbe un SO, ovvero gestire le attività necessarie al corretto funzionamento della macchina, ora in una versione molto più usabile e chiara rispetto a prima e con contenuti e funzionalità che pongono questa piattaforma molto avanti se non completamente su un altro livello rispetto a quella del Pd, "Bob". Non ha la complessità possibile con un sistema come LiquidFeedback ma ha tutto quello che serve ad un organismo politico come il M5s.

Ma anche così ben reimpostata, Rousseau ha un problema grande come il salto di qualità fatto rispetto alla versione precedente: non c'è una costante certificazione dei risultati delle votazioni che si svolgono sulla piattaforma. Attività che deve essere affidata ad un ente terzo, esterno, come avvenne del resto per le "Quirinarie" del M5s. Questa mancanza è un problema che inficia tutta la bontà del "reboot" di Rousseau: durante la presentazione, Davide Casaleggio ha detto che "in alcune occasioni il voto sarà certificato" ma va da sé che per essere inattaccabile una piattaforma di partecipazione politica non può prescindere da un check esterno continuo e costante che confermi la validità delle operazioni di voto. È una validazione che dovrebbe essere "embedded" nelle attività di un sistema di democrazia elettronica, non un accessorio occasionale.

Anche se l'operazione è complessa e costosa è imprescindibile. Altrimenti così com'è, nelle funzioni di voto Rousseau resta una bella demo di quello che potrebbe realmente essere, che si presta all'accusa di possibile manipolazione dei dati. L'ombra del dubbio rimarrà sempre più forte della luce delle cinque stelle. Casaleggio dice che dai centocinquantamila utenti attuali punta al milione entro il 2018, un volume di dati impressionante da gestire. Ma solo aprendo i forzieri dei suoi database a certificazioni esterne la piattaforma Rousseau potrà diventare quello strumento di democrazia digitale su cui il M5s ha fondato buona parte della sua epica politica.