È stato identificato e indagato dalla procura di Milano il giovane che lo scorso agosto aveva “bucato” la piattaforma Rousseau del Movimento 5 Stelle mettendone in evidenza le debolezze e le vulnerabilità. “L’ho fatto per testare la vulnerabilità del sistema, non avevo nessuna finalità politica”, ha spiegato L.G davanti agli inquirenti, ma ora rischia fino a tre anni di reclusione. Questa vicenda, sostiene Corrado Giustozzi, esperto di sicurezza informatica, privacy, crittografia e criminalità informatica, potrebbe essere l’occasione per aprire un dibattito sull’ethical hacking, di cui in Italia si parla poco se non tra gli addetti ai lavori.
COSA È SUCCESSO
“In Italia il codice penale prevede determinate fattispecie di reato, tra cui l’accesso abusivo a un senstema telematico o informatico e l’articolo-615 ter prevede la reclusione fino a tre anni – spiega a Cyber Affairs il profesor Corrado Giustozzi -. La legge non rileva le ragioni a fin di bene o se non si sono fatti danni, ma punisce chi commette un reato”. L’hacker conosciuto come Evariste Galois, lo scorso agosto si era appunto introdotto sulla piattaforma del Movimento 5 Stelle, Rousseau, creando poi un blog, “hack5stelle”, in cui ne segnalava le vulnerabilità. Per questo è stato identificato e interrogato dagli agenti della Polizia Postale, coordinati dai magistrati della Procura di Milano, che ne hanno passato al setaccio l’abitazione e sequestrato pc e supporti informatici. Tuttavia, secondo quanto emerso dalle indagini condotte dai pm Alberto Nobili ed Enrico Pavone, si sarebbe limitato violare la piattaforma attraverso un accesso abusivo nel sistema. Non risulta che abbia estrapolato quindi dati sensibili relativi all’attività politica del Movimento e a militanti e candidati grillini. Il giovane sarebbe uno studente domiciliato a Portogruaro, in provincia di Venezia, e iscritto alla facoltà di Matematica dell’Università di Padova e farebbe parte di una comunità di esperti informatici specializzata in questo genere di attacchi
L’ETHICAL HACKING
“Si dovrebbe aprire anche in Italia un dibattito sull’introduzione dell’istituto dell’ethical hacking o della responsible disclosure, ossia cerco vulnerabilità a fin di bene”, ha spiegato ancora il professor Gustozzi, che non ha identificato nel comportamento di Evariste Galois intenti negativi. Galois, infatti, dopo aver hackerato Rousseau non aveva mofidicato i codici o rivelato pubblicamente le vulnerabilità, ma aveva comunicato le informazioni alla Casaleggio Associati affiché si potessero correggere. “Il problema – conclude il professore – è che per fare tutte queste cose che potrebbero essere eticamente corrette l’hacker ha commesso tecnicamente un reato”.
IL COMMENTO DI CASALEGGIO
“L’attacco al sistema Rousseau ha rappresentato una grave violazione nei confronti di migliaia di iscritti ed è giusto che chi è responsabile dei crimini paghi”, ha scritto Daveide Casaleggio sul Blog delle Stelle dando la notizia dell’identificazione del giovane padovano. “Chi ha voluto colpire Rousseau lo ha fatto per scopi politici. È stato fermato l’esecutore materiale, ma ora spero che vengano individuati al più presto anche i mandanti e gli eventuali finanziatori delle operazioni criminali contro Rousseau, il MoVimento 5 Stelle e i suoi iscritti”.
MAGGIORE CULTURA DLELLA SICUREZZA
Una vicenda, dunque, che solleva un problema etico e giuridico, che si accompagna però anche a una scarsa cultura sulla cyber security. Quella che presentava Rousseau “è la stessa vulnerabilità con cui vengono esfiltrati i dati dalle aziende o dalle Asl”, spiega ancora Giustozzi. “Se un programmatore non ha esperienza e non è formato specificatamente sui temi della sicurezza commette degli errori. Un fabbro può essere bravo, ma se non conosce le tecniche con cui i ladri scassinano le porte, monta una porta blindata con delle vulnerabilità”.
ALTRI FILONI INVESTIGATIVI
Un altro Lo studente padovano, però, non era stato l’unico a “bucare” Rousseau. Pochi giorni dopo un altro utente, che si firmava Rogue0, si era introdotto su Rousseau trafugando dati e informazioni sugli utenti e le votazioni, messe poi in vendita online. Anche lui è ora nel mirino degli inquirenti milanesi ed ora è al centro di alcuni accertamenti investigativi.