La piattaforma Rousseau, gli hacker e la democrazia digitale | Rolling Stone Italia
News

Siamo davvero pronti per una democrazia digitale?

Il Movimento 5 Stelle, pioniere della tecnologia applicata alla politica, è caduto vittima di un attacco informatico vecchio di vent'anni. Ecco tutto quello che è successo e cosa significa per la politica 2.0

Siamo davvero pronti per una democrazia digitale?

Il filosofo Russeau ritratto da Allan Ramsay. Fonte: Wikicommons

La cronaca: la nuova versione di Rousseau, la piattaforma di democrazia partecipativa del Movimento 5 Stelle, è stata lanciata il 2 agosto, dando la possibilità anche ai non iscritti al Movimento di registrarsi. Pronti, presentazione, partenza e via. Passa un giorno, e un esperto di sicurezza informatica, Evariste.gal0ise, si accorge che il software che dà anima e cervello a Rousseau è vulnerabile ad attacchi piuttosto banali. In buona sostanza, scopre che basta poco per mettere mano a dati e informazioni personali dei suoi iscritti.

Il ricercatore segnala il problema ai gestori, che gli rispondono che stanno già lavorando per risolverlo (qui nasce il dubbio: sai che c’è un problema del genere e lanci comunque la piattaforma?). Troppo tardi: altre ventiquattro ore e un hacker di nome Rogue_0 annuncia di essere dentro al sistema Rousseau da mesi, durante i quali ha agito indisturbato fino a quando il collega Evariste ha reso tutto pubblico. Evariste, per la precisione, si è comportato da “White Hat”, quindi da hacker buono che segnala le vulnerabilità di un sistema al legittimo proprietario per porvi rimedio. Rogue_0, al contrario, è il classico “Black Hat”, hacker meno generoso e più votato al profitto. Nei suoi mesi di attività underground, infatti, Rogue_0 ha attivamente utilizzato le sue scoperte per traffica i dati degli iscritti.

A questo punto, una piccola ammissione: occupandomi di sicurezza informatica su più livelli, avevo scoperto già da me qualche discreta rogna di Rousseau, che il Movimento 5 Stelle si sforza di chiamare addirittura “sistema operativo” mentre si tratta di una sorta di social network. Insomma, Rousseau sta a un sistema operativo come il mio tosaerba sta a una Ferrari, ma ero curioso di verificare non tanto le funzioni del suo software, quanto il “guscio” che dovrebbe occuparsi della sicurezza di chi dà fiducia alla piattaforma. Dopotutto, il Movimento è nato e si è diffuso nel mondo digitale, quindi figuriamoci quanto sarà presa in considerazione la sicurezza informatica.

Così, ai primi di agosto, alla notizia del lancio di una nuova versione di Rousseau, ho dato un’occhiata alla sua struttura interna, alle istruzioni che lo fanno funzionare. Ora vi evito le disquisizione tecniche, ma non mi ci è voluto molto per trovare che Rousseau non si poggia su qualche software ad hoc sviluppato dalla Casaleggio Associati, bensì su Movable Type. Si tratta di un CMS, cioè un software che serve per creare e gestire siti pieni di contenuti. Un’alternativa a WordPress e Joomla, per chi sa di cosa sto parlando. Comunque, niente di rivoluzionario o particolare.

Movable Type è abbastanza noto alle cronache di sicurezza informatica per alcune vulnerabilità che, un tempo, lo rendevano vittima di alcune tipologie di attacco informatico piuttosto banali. Tra queste, il noto SQL Injection (niente paura, ci arrivo a breve). Ora, com’è giusto che sia, le versioni più recenti di Movable Type bloccano l’attacco, ma se nessuno dei sistemisti che hanno lavorato su Rousseau ha pensato di eseguire un’operazione semplice semplice come aggiornare il software, è chiaro che la vulnerabilità rimane.

Per capire l’entità del problema, tuttavia, è bene spiegarvi cos’è, un SQL Injection. Dovete sapere che buona parte dei siti nei quali navigate salva molte informazioni in archivi digitali, o database, e questi sono gestiti da appositi software. Uno dei più noti è, appunto, SQL, che per la precisione è un linguaggio di programmazione, che quindi opera tramite precise istruzioni. Quando si crea una qualche finestra di input in un sito, per esempio un modulo online che chiede di inserire nome utente e password, questa elabora i dati digitati interfacciandosi proprio con un archivio gestito da SQL.

In alcuni casi, se al posto di inserire un nome utente o una password, si inserisce un’istruzione del linguaggio SQL, questa viene eseguita. È come se si usasse il tastierino dello sportello bancomat per digitare un codice che, al posto di farci accedere al nostro conto, aprisse il portellone della cassaforte della banca. Ok, sarebbe fantastico, ma non esattamente un buon biglietto da visita per la nostra banca. In un SQL Injection basta una manciata di caratteri, insomma, per ottenere i risultati più disparati, a seconda dell’istruzione che si utilizza. Si può cancellare un intero database, intervenire su dati specifici, od ottenere tutti i dati disponibili. Tra questi, nomi utente e password che consentono di accedere alla piattaforma da “amministratore”, quindi da deus ex machina di quell’ambiente, con la possibilità di modificare anche dei voti.

Tuttavia, questo attacco è vecchio di quasi vent’anni (fu presentato nel 1998), quindi tutti i software, nel corso degli anni, sono stati sviluppati e aggiornati per bloccarlo. E qui torniamo a Movable Type: se non si usano le versioni più recenti, ecco che con quelle vecchie si rischia di cadere vittime di questo attacco.

E indovinate com’era la versione di Movable Type di Rousseau? Vecchia, appunto, come ha poi verificato Evariste.gal0ise, confermando le mie ipotesi e citandomi pure nella sua ottima analisi . Questo ci porta a un pensiero meno tecnico e più strategico, se vogliamo: davvero siamo pronti per una “democrazia digitale”? Davvero, cioè, se il Movimento 5 Stelle, pioniere della tecnologia digitale applicata alla politica, è caduto vittima di un attacco vecchio di vent’anni, possiamo affidare i nostri voti, e non solo, a sistemi web che fanno acqua da tutte le parti?

Chiariamoci: la mia non è invettiva contro la tecnologia. Anzi, io sono un sostenitore della tecnologia. Il problema vero è proprio l’uomo, cioè chi usa e gestisce, la tecnologia. L’attacco a Rousseau non è stato reso possibile grazie alla tecnologia, ma grazie a qualcuno che non ha saputo chiudere i lucchetti laddove necessario. Per altro, nel caso specifico, non sarebbe servita nemmeno chissà quale conoscenza: si trattava di aggiornare un software alla sua ultima versione. E non pensiate che, risolti problemi di questo tipo, le cose andranno meglio.

Le recenti elezioni americane, con le continue accuse di “sabotaggio” alla Russia, sono la dimostrazione che si possono perpetrare una serie di attività collaterali pronte comunque a variare l’esito di una votazione. E che dire delle famose “voting machine” americane, per il voto elettronico? Qualche settimana fa degli hacker hanno impiegato 90 minuti per prenderne possesso, con la possibilità di modificarne i voti registrati. Farete fatica a crederci, ma anche in questo caso la colpa era di un software non aggiornato. Ancora una volta, il problema era l’uomo.

Sulla base di un discorso prettamente tecnico, direi che no, non siamo ancora pronti a una democrazia totalmente digitale. Ma siamo proprio noi, esseri umani, a non essere pronti. Occorre far maturare la nostra mentalità digitale, capire che il virtuale ha smesso di esistere da un pezzo ed è tutta realtà. Che basta navigare su un sito sbagliato, per compromettere un sistema. Che basta scordarsi un clic sulla voce “Update”, per far crollare i più lungimiranti sogni rivoluzionari. Non dimentichiamoci che Jean Jacques Rousseau, prima di contribuire alla rivoluzione, ha studiato per bene la filosofia. Ecco, ispirarsi a un modello, e saltare certi passaggi che lo hanno reso fonte d’ispirazione, non porta mai a buoni risultati.

Altre notizie su:  rollingaffairs