2017/08/08

Due parole sulle vulnerabilità di Rousseau

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/08/08 23:45.

Non mi dilungo sui dettagli tecnici della questione Rousseau che è divampata nei media generalisti: li ha già raccontati egregiamente David Puente in una serie di articoli. Segnalo solo alcuni fatti che forse sono stati poco evidenziati o volutamente confusi.

- Il primo “attacco” non è stato un attacco, ma ha segnalato responsabilmente in privato a Rousseau alcune sue vulnerabilità e le ha pubblicate online solo dopo che erano state corrette. Vulnerabilità, fra l’altro, equivalenti a mettere una serratura di cioccolato sulla porta di casa: limite massimo di 8 caratteri per le password e un banalissimo SQL injection, talmente classico che c’è persino la vignetta di Xkcd apposita (spiegone).


- Non è vero che le informazioni pubblicate su queste vulnerabilità sono state rimosse perché Rousseau o altri hanno preso delle “contromisure”. Beppegrillo.it scrive che “il suo sito [quello del segnalatore] è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. No. La riservatezza professionale mi impedisce di dire altro, ma la chiusura degli account del primo segnalatore non è merito di alcuna “contromisura”. Tant’è vero che gli account sono tornati online. Bullarsi di quello che non si è fatto è boriosamente stupido, per non dir di peggio.

-- L’incursione non ha richiesto talento speciale. Non stiamo parlando di forzare chissà quali ostacoli. Questo era un castello costruito col fango che non ha retto all’uso di un innaffiatoio; è l’equivalente di lasciare la porta di casa socchiusa e i gioielli in bella vista sul tavolino all’ingresso.

-- Lo stesso post su Beppegrillo.it dichiarava che Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.” Beh, mica tanto e di certo non tutte, dato che qualcun altro è riuscito comunque a entrare subito dopo.

-- Il successivo furto di dati vero e proprio (quello rivendicato da r0gue_0) ha rivelato che Rousseau non ha preso neppure le misure di sicurezza più basilari. Per l’amor del cielo, le password degli utenti erano conservate in chiaro in un database. Lo sanno anche i muri che le password si custodiscono in modo crittografato tale che neanche il gestore del sistema possa decifrarle (hashing e salting), proprio per evitare i danni di massa causati da attacchi come questo. In questo modo, se vengono rubati i dati, perlomeno non sono leggibili (o è enormemente oneroso leggerli).

-- Chi minimizza dicendo che tanto non erano in corso “votazioni” non ha capito la gravità degli eventi oppure sta volutamente mettendo la testa nella sabbia. Evidentemente non ha considerato che comunque l’affiliazione politica è un dato delicato e personale e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali. E non ha considerato che la fiducia degli utenti è stata tradita: non stiamo parlando del sito di un circolo di cucito, ma della piattaforma di gestione di uno dei movimenti politici più significativi di un paese. Se questo è il modo in cui si pensa di gestire la democrazia digitale, è meglio lasciar perdere e trovare qualcuno che ci capisca.

-- Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica. Un sistema operativo è del software che dialoga con l’hardware e fa da interprete e servitore per le applicazioni. Windows, Android, MacOS, iOS, Linux sono esempi di sistemi operativi: Rousseau no. È un sito, un portale, una piattaforma gestionale, ma non un sistema operativo. Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile.


Se volete altre opinioni sulla sicurezza di Rousseau, date un’occhiata a questo articolo su Formiche.net e a questo su Il Post.


2017/08/08 16:20. Rousseau protegge le password con un sistema preistorico che si supera in dodici secondi, secondo questa analisi.

2017/08/08 23:45. Ho aggiornato per chiarire il concetto di crittografia dei dati.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili