Un computer
Un computer

Firenze, 3 settembre 2019 - Il voto su Rousseau sarà dirimente per ratificare la nascita del nuovo governo Conte oppure per decretarne la fine prima dell'inizio. Ma per gli esperti ci sono diversi pericoli in agguato. Il primo è quello informatico: ci sono molti dubbi sulla sicurezza del voto online. Dal Movimento assicurano che la piattaforma è inviolabile. Ma è davvero così? Lo abbiamo chiesto a Gianni Cuozzo, esperto di cybersecurity. A soli 29 anni è consulente per l'intelligence militare di diversi paesi Nato, e fondatore di ben 4 aziende di successo che si occupano di sistemi di attacco e difesa informatica.

Ci sono molte polemiche attorno al voto delle prossime ore sulla piattaforma Rousseau. Dal Movimento 5stelle fanno sapere che il sito è sicuro. Ma come stanno davvero le cose? Rousseau è vulnerabile?

Chiaramente ogni produttore o fornitore di servizi online giurerebbe sulla sicurezza informatica dei propri sistemi, ma sfortunatamente non è cosi. Da parte di Rousseau proclami del genere ne sono stati sempre fatti, anche quando la situazione era chiaramente più critica di quella attuale. Ne è testimonianza l'operazione del 27enne Luigi Gubello conosciuto tra gli hacker come Evariste Gal0is, che ha dimostrato un paio di anni fa come il database utenti di Rousseau non fosse esattamente sicuro e come le password policies (la politica per l'utilizzo di password) dei propri amministratori non fossero aggiornate. Quell'operazione costò alla fondazione di Casaleggio una multa di circa 50.000 euro da parte del garante della privacy, a mio avviso troppo poco per le tematiche affrontate. Oggi la piattaforma si è aggiornata, ha fatto buoni passi in avanti sulla sicurezza ma rimane comunque vulnerabile ad attacchi più sofisticati e strutturati. Soprattutto, considerando i budget dichiarati per la sicurezza, ho ragione di pensare che la loro difesa sia piuttosto limitata. Dal mio punto di vista ci andrei piano nel parlare di "immunità della piattaforma Rousseau".

Se quindi Rousseau non è veramente immune il voto per il “progetto di governo” dei prossimi giorni può essere manipolato dall’esterno? E soprattutto chi può averne l'interesse?

Non sono da escludere attacchi provenienti da altre nazioni volte a gettare benzina sul fuoco in un momento istituzionale delicato come quello che stiamo vivendo. Detto ciò il più grosso rischio non sono gli attacchi su vasta scala ma quelli mirati che possono colpire singoli utenti particolari. Ad esempio basterebbe attaccare gli amministratori della piattaforma per poter poi avere accesso al server e quindi manipolare l'esito delle votazioni, ad esempio. Oppure attaccare direttamente il database in cui questi voti vengono salvati. E il tutto, seppur difficile da attuare, potrebbe essere fatto senza dare nell'occhio. Le statistiche infatti ci dicono che circa il 70% di chi subisce un attacco non sa che è sotto attacco o che lo è stato. 

E dall’interno? E’ possibile che in piattaforme del genere sia prevista la modifica degli esiti di una consultazione senza renderne conto agli utenti?

Assolutamente sì , dall'interno un amministratore con i giusti livelli di privilegi può tramite semplici script sovrascrivere le tabelle dei database a proprio piacimento ed alterare il risultato della votazione. Essendo i voti anonimi nessuno potrebbe rendersene conto. 

Ci sono precedenti che testimoniano come si possa modificare il voto?

Al Def Con, la più grande conferenza hacker al mondo che si tiene tutti gli anni a Las Vegas, da diversi anni è presente una sezione dedicata alla alterazione dei sistemi di votazione online. L'anno scorso ad esempio sono state manomesse le cabine digitali utilizzate nelle ultime votazioni negli Stati Uniti, quindi sì: è assolutissimamente fattibile. E ci sono diversi sospetti che ciò sia accaduto durante alcune votazioni nell'est Europa e in Sud America, sia da apparati statali che da organizzazioni criminali che agivano per conto terzi. 

Quindi il voto online in generale è da considerarsi ancora oggi una pratica pericolosa?

Personalmente penso che non sia ancora giunto il tempo per votazioni di questo tipo online. Finché non avremo tecnologie di anonimizzazione efficaci e sicure penso che la cara e vecchia matita debba avere vita lunga. Il voto online è ancora più pericoloso quando poi avviene su una piattaforma chiusa, appartenente prima ad una società privata e poi ad una fondazione privata, di cui non si conosce il codice sorgente, non è possibile vedere gli audit (la procedura di valutazione ndr) di sicurezza e non se ne conosce con esattezza l'architettura. Consiglio alla fondazione Rousseau di dare certezze tecniche in tal senso, con documenti e codici sorgenti visionabili e non con proclami da televendita anni 90.