Lettera a Casaleggio sulla vulnerabilità non solo politica del M5S

Il Garante per la Protezione dei Dati Personali ha già aperto un fascicolo sulle intrusioni di hacker nei giorni del voto su Di Maio.

156 0
156 0

Alessandro Curioni, editore, imprenditore e giornalista interviene con questo articolo sulla discutibile scelta di Luigi Di Maio a candidato premier del M5S e sulle falle informatiche della piattaforma Russeau sulla quale si sono svolte le votazioni con cui circa 30.000 iscritti al Movimento hanno scelto appunto Di Maio (che non aveva praticamente avversari).

***

Cantava Luciano Ligabue e di fronte all’attacco avvenuto durante le votazione dei pentastellati, anche io ho qualche difficoltà a trovarle e quindi sarò breve. Lasciamo perdere le valutazioni politiche, non stiamo a cavillare sul fatto che le elezioni sono sempre una cosa seria, evitiamo anche di fare quelli che “l’avevano detto”, ma qualche considerazione un po’ tecnica vogliamo concedercela.

Partiamo da un presupposto: se c’è una cosa che un hacker, ma anche un esperto di sicurezza, non perdona è l’arroganza. Nel piccolo mondo che da anni frequento abbiamo tutti una discreto “ego” e tendiamo a guardare gli altri con una certa bonaria comprensione, quando siamo di buonumore, oppure con disprezzo, se la giornata è andata storta. Anche tra di noi facciamo fatica a “volerci bene”. Tuttavia, quando qualcuno si dimostra non proprio competente, consapevole e, cosa gravissima, si pure spocchioso, allora diventa subito un bersaglio. Nei miei libri ho scritto che il criminale valuta l’economia dello sforzo, ma se la questione diventa personale, le regole del gioco cambiano.

Per questa ragione l’atteggiamento della Casaleggio e Associati e del Movimento ha trasformato i giorni della consultazione in una tentazione irresistibile. Era scontato, certo tanto quanto le tasse e la morte, che sia Evariste Gal0is sia R0gue_0 si sarebbero nuovamente manifestati, nello stesso ordine della prima volta, il primo avvertendo, il secondo colpendo. Si sapeva anche il giorno. In un mio post precedente indicavo una serie di contromisure, sfortunatamente molto onerose, che potevano essere applicate, ma di certo non era pensabile mettere in sicurezza Rousseau in meno di due mesi: sarebbe stato necessario smontare tutto e ricostruire l’intero sistema. Mettere delle pezze non poteva evitare il peggio fosse anche per una banale ragione legata al modus operandi standard di un hacker. Nel momento in cui acquisisce l’accesso a un sistema, prima di abbandonarlo crea un canale di connessione nascosto, tecnicamente una backdoor.

Se poi è piuttosto bravo potrebbe avere installato un kernel rootkit, cioè un gruppo di software malevoli che agiscono nel cuore (il kernel) del sistema operativo, terribilmente difficile da rintracciare e rimuovere. Questo comportamento è un routine e se R0gue_0 lo ha fatto, allora le speranze di cavarsela stavano a zero. Se poi le cose sono andate in modo diverso significa che l’attacco può essere passato attraverso una vulnerabilità di un applicativo oppure del sistema operativo, sfuggita alla revisione del codice che immagino sia avvenuta dopo i fatti dello scorso agosto (in caso contrario sarebbe decisamente grave).

Aggiungo un’ultima nota. Il Garante per la Protezione dei Dati Personali ha già aperto un fascicolo per la prima intrusione e avevo accennato che il Movimento e la Casaleggio e associati rischiavano di essere cornuti e mazziati. A questo punto non mi stupirei se, dopo questo nuovo fattaccio, il procedimento subisse una brusca accelerazione. Considerando i fatti chiunque si domanderebbe: “Hanno già subito un attacco, sono andati avanti imperterriti e vengono di nuovo colpiti. Vuoi vedere che non hanno fatto le cose per bene?” L’idea che errare è umano, ma perseverare diabolico resta sempre ben presente nella testa delle persone di buonsenso.

di Alessandro Curioni

Fonte: Blog di Aldo Giannuli

Alessandro Curioni, editore, imprenditore e giornalista. Nel 2003 pubblica il volume Hacker@tack, dedicato alla sicurezza informatica. Nel 2008 fonda DI.GI. Academy, azienda specializzata nella formazione e nella consulenza nell’ambito della sicurezza informatica. Nel 2015 riprende la sua attivita` pubblicistica per diverse testate cartacee e on line. Nel 2016 esce per Mimesis Come pesci nella Rete. Guida per non essere le sardine di Internet, un manuale che incontra l’interesse di numerose testate giornalistiche (RAI, Radio Tre, “il manifesto”, “IoDonna”, “Il Fatto Quotidiano”, “Donna Moderna”, Radio 24 ecc.) e che, nell’agosto dello stesso anno, figura tra i dieci saggi piu` venduti secondo la classifica settimanale de “La Lettura”. A marzo del 2017, sempre con Mimesis, viene pubblicato La privacy vi salvera` la vita.

In this article

Scrivi un commento