Il compianto Zygmunt Bauman si rivolta nella tomba: tra limitazioni reali di natura sociale o tecnica, oggi la democrazia liquida fa acqua da tutte le parti. Almeno per il novanta per cento della sua essenza, direbbe qualcuno. Oggi è il caso delle limitazioni tecniche: dopo circa un anno dal primo attacco, infatti, l’hacker noto come rogue0 ha preso nuovamente di mira Rousseau, “sistema operativo” del Movimento 5 Stelle e piattaforma ospite dei sistemi di votazione diretta del partito.
Con successo, ça va sans dire: a farne le maggiori spese sono state le informazioni private di Luigi Di Maio, Danilo Toninelli e Alfonso Bonafede, seguite a distanza di ventiquattr’ore da quelle di Virginia Raggi e Paola Taverna. Così come anche i dati di alcuni privati donatori del Movimento. E ciò è lontano dall’esser tutto: in Rete, quale prova di concetto, sono state diffuse solo poche briciole da un individuo virtualmente in possesso dell’intero database della piattaforma pentastellata.
Rousseau: i dettagli del “colpo”
Che Rousseau non fosse a prova di scasso, lo si era capito poco più di un anno fa. Nell’agosto 2017 era stato sempre rogue0 ad annunciare al mondo di essersi introdotto – con relativa facilità – dentro il cuore pulsante del sogno tecnologico grillino. Mandandolo, secondo molti, in rovina: un sistema che per propria natura avrebbe meritato di essere ultrasicuro disponeva in realtà di un lucchetto di cartapesta. Da Twitter, rogue0 lascia intendere che la più grave falla di Rousseau sia da identificare nella cosiddetta SQL injection.
What about SELECT * FROM voting_author_federated WHERE author_federated_is_superuser = 1 ?#GetRootIsNotACrime
— rogue0 (@r0gue_0) 6 settembre 2018
Si tratta di una vulnerabilità molto grave che può affliggere i database, e che permette a un utente malintenzionato di eseguire codice malevolo mentre invia una richiesta altrimenti inoffensiva al database di un sito. La SQL injection è nota da decenni e ogni sito rispettabile dispone di contromisure verso di essa, quasi di default. Rousseau non ne aveva l’anno scorso, e sembra non averne ancora.
A La Stampa, l’hacker ha affermato che «qualsiasi persona potrebbe ottenere gli stessi dati e volendo gli stessi privilegi». Privilegi da amministratore del sito che rogue0, in realtà, avrebbe addirittura mantenuto per un anno intero grazie a una cosiddetta backdoor, una “porta sul retro” virtuale da lui installata nel sistema, la quale gli ha permesso di intrufolarsi in Rousseau senza doverne nuovamente sfondare le pur traballanti difese.
Just to let you understand.
[ #Rousseau ] database management system users privileges:
user : %srv05sqlusr% ( administrator ) :
privilege : SUPER#Casaleggio #M5S#GetRootIsNotACrime#pisQAnon is here#APT0— rogue0 (@r0gue_0) 5 settembre 2018
Le prove? Più che sufficienti, pare: i dati sottratti e pubblicati corrispondono alla realtà. Non solo quelli più in vista e reperibili altrove, come i contatti privati dei politici in questione, ma anche i nominativi dei donatori, privati cittadini, e l’importo versato al partito di Casaleggio. Alcuni di essi, contattati dalla stampa in forma privata, hanno confermato la veridicità dei dati pubblicati online. Attendibile anche la tempistica dell’attacco, dato che alcune tabelle del database trafugato riportano chiaramente la dicitura “2018”. Dal punto di vista tecnico, per di più, non c’è motivo di credere che quanto affermato da rogue0 possa sembrare falso o inattendibile.
L’hacker rimane in possesso – a suo dire – della totalità del database di Rousseau. L’anno scorso provò a vendere copie del suo contenuto per 0,3 Bitcoin, all’epoca circa mille euro. È già noto che egli intenda offrire al pubblico pagante anche questi nuovi dati.
now for greedy big discount & Lower price at #Rousseau Market! The whole users database at the low price of 0,3 BTC ->PM me 😉 #Hack5Stelle
— rogue0 (@r0gue_0) 5 agosto 2017
Big news & #tables at #Rousseau Market , collection #Summer2k18 is out!
Great & Useless changes from #casaleggio, for a nice low price!
New tables, new #Hash , phones, emails… and so,@casaleggio ?https://t.co/L5srTaSTdP#M5S #GDRP#pisQAnon is better than nothing#APT0— rogue0 (@r0gue_0) 5 settembre 2018
Fatto sta che Rousseau – un sito che ospita dati sensibili e intenzioni di voto – dovrebbe essere a prova di manomissione per dimostrare di essere una realtà fattibile o quantomeno perseguibile. Finora, in ogni occasione in cui è stato messo alla prova, si è rivelato non all’altezza. La SQL injection non è l’unico problema di Rousseau: il sistema è anche sensibile a un’altra pratica malevola e molto pericolosa, il cosiddetto cross-site scripting (XSS); inoltre l’algoritmo di crittazione delle password nel database è ampiamente obsoleto, crackabile in pochi minuti con un normale computer di oggi.
Le ultime parole famose di Casaleggio
Da sempre esistono comprensibili perplessità sull’affidamento del potere di policy-making – e in quale misura – a un pubblico non specializzato, le quali costituiscono dibattito teorico sulle dovute proporzioni tra democraticità, rappresentanza e competenza. Da quando si parla di democrazia diretta passante per Internet, a queste perplessità si sono affiancate altrettante preoccupazioni di carattere tecnico.
Nessuna di esse realmente nuova: gli attacchi a Rousseau mettono in luce difficoltà già temute nella gestione di una cornice che dovrebbe, in teoria, garantire la sicurezza del voto diretto e l’univocità dello stesso. Certamente, nel pensiero pentastellato, la tecnologia informatica è l’unico mezzo che possa consentire un simile progetto; ma essa, per sua stessa natura, non può mai essere sicura al cento per cento. Il fatto che Rousseau, poi, sia gestito in modo particolarmente approssimativo anche per i comuni standard della sicurezza informatica, non invoglia certo a dar fiducia all’ideale in questione.
Ma non saranno solo le critiche a far grattare il capo alla Casaleggio Associati: la General Data Protection Regulation (GDPR) dell’Unione Europea, in vigore dal 25 maggio, lascia presagire un epilogo ancora più duro per Rousseau rispetto all’attacco dello scorso anno. La normativa europea prevede infatti una sanzione amministrativa salatissima per i data breach (ossia il furto, da parte di terzi, dei dati degli utenti in affidamento ai gestori di un servizio): il massimale previsto è di 10 milioni di euro, o alternativamente il 2% del fatturato dell’intera società.
Se il Garante per la privacy dovesse riconoscere Casaleggio e soci colpevoli di non aver adeguatamente tutelato gli utenti di Rousseau, la multa potrebbe essere davvero aspra, specialmente considerata l’importanza economica, politica e mediatica dell’azienda. Già l’anno scorso, in seguito al precedente attacco, il Garante aveva riconosciuto i sistemi di sicurezza di Rousseau obsoleti e insufficienti. Un’accusa poi riparata solo in parte dagli ammodernamenti operati sul sito, e che il banner relativo alla GDPR, oggi in bella vista su Rousseau, non è bastato a spegnere.
E pensare che proprio pochi giorni fa Davide Casaleggio, proprietario del Movimento 5 Stelle e delle relative piattaforme web, aveva sostenuto la solidità dell’ultima creatura di suo padre: «Rousseau non è una moda passeggera. La democrazia diretta e partecipata è il futuro». Una sonora pacca sul cofano di un’auto che, però, non si riesce a vendere.