Come anticipato ieri da Formiche.net, la piattaforma Rousseau è nuovamente sotto attacco. Dopo una serie di tweet di “avviso” pubblicati il 2 e il 4 settembre, a partire dalla tarda serata di ieri l’utente di twitter, r0gue_0 – e intruso su Rousseau – ha pubblicato una serie di messaggi in cui ha mostrato, da una parte, i privilegi del suo user all’interno del database di Rousseau, per poi rincarare la dose, linkando a un sito in cui ha messo in chiaro di avere l’accesso a varie parti di quello stesso database e di poterlo – volendo – modificare.
L’attacco è avvenuto proprio in coincidenza con una doppia votazione sulla piattaforma, e Formiche.net ha contattato due esperti di sicurezza informatica, Corrado Giustozzi e Arturo Di Corinto, per capire quali rischi ci siano per la votazione in corso e quali, invece, a più ampio raggio, sui dati degli utenti in possesso dell’Associazione Rousseau, che gestisce il cosiddetto (anche se impropriamente) sistema operativo dei 5 Stelle.
“La piattaforma è evidentemente ancora insicura nonostante le segnalazioni che sono state fatte in passato e quindi sono a rischio tutte le attività che si svolgono al suo interno”, ha spiegato l’esperto informatico Corrado Giustozzi. Dal primo tweet pubblicato ieri da r0gue_0 “sembra che l’intruso abbia ottenuto i privilegi dell’amministratore del database, quindi la facoltà di accedere a questa base di dati con privilegi elevati, ossia con la possibilità di vedere le tabelle, modificarle e cancellarle”. Successivamente, r0gue_0 ha condiviso il link a un sito in cui è possibile leggere, spiega ancora Giustozzi, “un indice delle tabelle che costituiscono il database, quindi ogni riga di quell’elenco è il nome di una tabella ulteriore con un blocco strutturato di dati. Chiaramente un database non è composto da un solo file, ma i dati vengono distribuiti su più tabelle che poi sono collegate tra loro con una serie di riferimenti incrociati”.
Secondo l’esperto, “r0gue_0 ha pubblicato l’elenco delle tabelle, ma non i contenuti, per dire: ‘Vedete, io ho l’accesso alla struttura del database, quindi posso vedere il dietro le quinte’. I contenuti non sono stati resi pubblici salvo una sola tabella che contiene i nomi, gli indirizzi email e gli importi di una serie di donatori, mentre i contenuti delle altre tabelle non sono stati pubblicati”. Questo significa che r0gue_0 ha l’accesso anche alle altre tabelle? “È verosimile, anche se finché non c’è una prova non si può esserne certi”.
In queste ore, però, è in corso una votazione su una piattaforma, secondo gli esperti, insicura. “La votazione in corso è potenzialmente nulla”, afferma il giornalista e saggista Arturo Di Corinto, che nei messaggi di r0gue_0 legge una minaccia ulteriore: “Se ho capito bene quello che ho visto, questo signore ha dato i privilegi di super user a tutti gli utenti della piattaforma. Non è più soltanto lui un super user, e questo è quello che si dice in rete, nei vari forum. Lui ha dato questi privilegi agli utenti della piattaforma Rousseau, se a tutti non lo so, ma è quello che si dice da ieri sera a stamattina. Poi non sono cose che arrivano su Facebook e su Twitter”.
La piattaforma Rousseau, aggiunge Di Corinto, “è uno strumento potenzialmente eccezionale e sicuramente molto importante dal punto di vista della democrazia elettronica, però non funziona”. Il problema principale della piattaforma, secondo il giornalista, è che non sia mai stata consentita una verifica indipendente del codice su cui è stata costruita. “Finché Casaleggio non mi fa vedere come funziona io non sarò in grado di dire mai se è una cosa sicura oppure no, quindi per adesso, siccome sono pessimista, penso che sia insicura”. Il problema, aggiunge, è che “il primo arrivato è in grado di cambiare i valori dentro quella piattaforma e di fatto cambiare i destini di un Paese, della politica di un Paese, la formazione di un governo e la scelta dei rappresentati del partito che usa quella piattaforma”.
La soluzione, spiega il professore, non è semplice e non riguarda solo la piattaforma Rousseau, ma tutte le realtà che si muovono online e la democrazia digitale in generale. Il merito di queste azioni di disvelamento, prosegue, è aver “acceso un faro sul tema della sicurezza informatica, benché non si possano condividere le modalità con cui è stato fatto”. L’errore di Casaleggio, invece, è stato perseguire una scelta di “security through obscurity”, sicurezza attraverso l’oscuramento, anziché una operazione di sicurezza attraverso l’esposizione, la visione collettiva, che è quello che fa chi produce software. “Non deve essere oscuro il codice – specifica Di Corinto -, ma la chiave del codice. È come la serratura di casa, tutti la vedono e tutti possono accedere, ma se non hanno la chiave non aprono la porta. Il software la stessa cosa: tu devi sapere come funziona il software, poi ci metti il lucchetto”.
“Le aziende da sole, i parlamenti, le polizie singolarmente non ce la fanno a garantire la sicurezza dei dati personali che ci identificano e rappresentano in quanto cittadini, contribuenti, elettori, lavoratori – conclude il saggista -. Il nostro sé digitale che è costituito da questi dati, ci precede sempre e la manipolazione dei dati personali può influenzare la nostra quotidianità. Quindi se non sono protetti adeguatamente, si è esposti a un potere incontrollato”.