Come il M5s è diventato lo zimbello degli hacker italiani: le rivelazioni a TPI
TPI ha parlato con l'hacker Fabrizio Carimati, tra i primi a notare le falle informatiche nel blog di Beppe Grillo nel gennaio 2017, che ha spiegato inoltre cosa dovrebbe fare il M5s per evitare nuovi attacchi
Che il Movimento 5 Stelle si sia sempre fregiato del nome di “Partito della Rete” non è una novità. Fondato online dal comico Beppe Grillo nel 2009, il M5S veicola i suoi messaggi soprattutto tramite il blog di Grillo, il sito web del Movimento e i suoi profili social. Uno dei suoi vessilli, non a caso, è la democrazia diretta, da realizzarsi idealmente sul web.
Così, quando nel 2016, poco prima della morte di quel Gianroberto Casaleggio che possedeva, attraverso la sua Casaleggio Associati s.r.l. , il blog di Beppe Grillo, nasce la piattaforma Rousseau, nessuno si stupisce.
Rousseau vuole fungere da “sistema operativo” del Movimento e sviluppare ulteriormente la “democrazia della rete” tanto sostenuta dal partito, prendendo in prestito il nome di un celebre filosofo illuminista, Jean-Jacques Rousseau. Sulla piattaforma gli iscritti possono votare liste elettorali e partecipare alla scrittura di leggi, ma anche donare al M5S.
Secondo quanto dichiarato al Fatto Quotidiano da Davide Casaleggio, che ha ereditato la Casaleggio Associati s.r.l. e l’Associazione Rousseau alla morte del padre, attualmente sulla piattaforma sono registrati oltre 100mila utenti.
Dalla sua fondazione nel 2016, su Rousseau si sono tenute 72 votazioni per scegliere i candidati del Movimento, oltre ad un’enorme consultazione per costruire il programma con il quale il partito si è candidato alle elezioni 2018 a cui che ha registrato 2,4 milioni di preferenze.
Inoltre, “la comunità del Movimento ha potuto partecipare alla definizione di oltre 600 atti presentati dai propri portavoce che hanno visto oltre 90mila interventi degli iscritti tra integrazioni, modifiche, obiezioni, suggerimenti o segnalazioni di vizi di forma”, ha aggiunto Casaleggio.
Se il “partito del web” non sa proteggere i dati dei propri utenti
A un primo sguardo potrebbe sembrare, quindi, che l’utopia della democrazia diretta a cui il partito fondato da Grillo e Casaleggio ha sempre tenuto tantissimo sia prossima a realizzarsi.
Ma c’è un piccolo problema: la piattaforma è stata più volte vittima di attacchi di hacker che hanno fatto notare a più riprese varie falle e vulnerabilità di Rousseau, e sembra che i problemi continuino a non venire risolti.
Per ricostruire una cronologia degli attacchi hacker subiti dalla piattaforma e dal blog di Beppe Grillo a partire dal gennaio 2017 e capire quanto male la vicenda sia stata gestita dai leader del Movimento 5 Stelle, TPI ha intervistato l’hacker Fabrizio Carimati (su twitter @Clodo76).
Carimati è stato uno dei primi a notare, nel gennaio 2017, che il certificato SSL (l’accesso https://) di beppegrillo.it era scaduto da 5 giorni, esponendo i dati del sito a un attacco piuttosto semplice chiamato, in gergo, Men-in-the-Middle.
I grillini si vantano di essere quelli che capiscono Internet. Allora come mai il loro certificato SSL è scaduto da giorni? (via @clodo76) pic.twitter.com/pQ4Rw7omec
— Paolo Attivissimo (@disinformatico) 8 January 2017
Notato anche che il server non era stato aggiornato almeno dal 2014, fu segnalato allo staff di Grillo il problema.
Ben otto mesi dopo, nell’agosto 2017, un hacker white hat noto come Evariste Gal0is apre un sito web, chiamato hack5stelle, evidenziando tutte le vulnerabilità che mettevano voti e dati personali degli iscritti a rischio di essere trafugati.
Per i non addetti ai lavori, un white hat è un hacker che, dopo aver individuato le debolezze di un sito, segnala queste falle ai gestori del sito (in questo caso, di beppegrillo.it) e ne parla pubblicamente, al fine di rendere un servizio pubblico a tutti e assicurare la privacy degli utenti.
Si tratta di una pratica talmente diffusa e utile, nel mondo dell’informatica, che anche compagnie enormi come Google o Facebook, che hanno personale interno per quanto riguarda la security, hanno dei programmi – detti bug bounty – attraverso i quali chiedono attivamente agli hacker di cercare dei bug (ovvero delle falle di sistema) nei loro programmi prima che diventino di dominio pubblico.
“L’incompetenza dell’Associazione Rousseau è stata quella di trattare un white hat come un black hat (un hacker che invece sfrutta le vulnerabilità trovate a scopo personale; ndr), evidentemente non conoscendone la differenza”, spiega Carimati.
In seguito alla pubblicazione di Hack5Stelle da parte di Evariste Gal0is, infatti, l’Associazione Rousseau pubblica sul blog di Beppe Grillo un post intitolato La sicurezza di Rousseau, assicurando agli utenti che “sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa” – affermazione successivamente smentita dai fatti.
Ma non è tutto: nello stesso articolo, si annuncia che il white hat che li ha aiutati a scoprire le proprie vulnerabilità verrà denunciato perché “l’attacco è assolutamente da condannare, anziché osannare come fanno i giornali”.
A distanza di un anno, l’1 agosto 2018, Evariste Gal0is – che si rivelerà essere Luigi Gubello, studente veneto 27enne di matematica – confermerà di essere indagato per accesso abusivo in un sistema informatico. Il reato prevede una pena fino a 3 anni di carcere.
Nel frattempo, però, un altro hacker (questa volta, un black hat, ovvero il contrario di un hacker etico) dichiara di aver l’accesso al server del Movimento da mesi, e inizia a pubblicare dati come dimostrazione. È il 3 agosto 2017.
L’hacker si chiama @r0gue_0, e comincia a pubblicare dati trafugati per dimostrare il proprio accesso ai server. Si tratta di nomi, cognomi, email e codici fiscali di iscritti alla piattaforma Rousseau, tra cui quelli di uno dei soci della Casaleggio Associati, Marco Maiocchi.
Di Maio non vuole, però, prendersi la responsabilità, e dichiara a Repubblica che “Il problema non siamo noi ma la sicurezza informatica di questo Paese”.
Notare come Di Maio sia pronto a farsi carico delle responsabilità del #M5S. Sembra la Raggi con Bracciano pic.twitter.com/pK9suz9mLt
— I poteri forti (@i_poteri_forti) 6 August 2017
Nel frattempo, da David Puente a Paolo Attivissimo, oltre allo stesso Evariste Gal0is continuano intanto a fioccare segnalazioni rispetto a tutte le varie falle presenti sulla piattaforma Rousseau.
Più di un anno dopo, il 5 settembre 2018 l’hacker “egoista”, @r0gue_0, torna all’attacco.
In un primo momento condivide sul suo profilo Twitter due link che conducono al sito Privatebin.net, pubblicando i dati relativi al database della piattaforma M5S e svelando l’identità di alcuni donatori, riportando nomi e cognomi in una lista in chiaro.
È poi il turno dei ministri grillini Di Maio, Bonafede e Toninelli, i cui numeri di cellulare privati e indirizzi e-mail vengono pubblicati nella notte tra il 5 e il 6 settembre. “Per rispettare le quote rosa”, poi, ad apparire online sono i contatti privati di Virginia Raggi e Paola Taverna.
Secondo Fabrizio Carimati, per chi conosce l’argomento accedere ai dati degli utenti registrati su Rousseau resta piuttosto facile.
“@r0gue_0 ha sfruttato una vulnerabilità che ha cercato e trovato. Una diversa da quella dell’anno scorso. Probabilmente se venisse chiusa, è solo questione di tempo o voglia per lui trovarne un’altra. Non sappiamo qual è questa vulnerabilità specifica, sarà una tra tante non ancora scoperte, non è così importante”, spiega.
“I ‘buoni’ white hat potrebbero trovarle e segnalarle a Rousseau, ma visto che han denunciato il ragazzo @evaristegal0is che ci ha provato, non si meritano alcun aiuto e nessuno lo fa per non rischiare una denuncia”, continua Carimati.
Cosa dovrebbe fare lo staff del Movimento 5 Stelle per evitare questi attacchi in futuro
Per evitare che questi attacchi continuino e si moltiplichino, dice l’hacker intervistato da TPI, l’Associazione Rousseau dovrebbe prima di tutto scusarsi con Evariste Gal0is e pagare tutte le spese che ha sostenuto per difendersi, “altrimenti non avrà mai l’appoggio dei white hat e la community italiana di security continuerà a deriderli”.
Rivolgersi ai professionisti e attivare un decente programma di bug bounty, ricompensando gli “hacker etici” che segnalano le vulnerabilità della piattaforma aiutando a chiuderne le falle, è un altro passo necessario.
Ma, continua Carimati, i 5 Stelle hanno dimostrato che “non hanno alcuna esperienza su questi argomenti”. A dimostrarlo sarebbe la denuncia ai danni di Evariste gal0is, che Carimati definisce come “l’errore più grave in assoluto. Un errore che ad oggi persiste, dato che il procedimento legale verso @evaristegal0is è ancora in corso”.
“La denuncia del M5S verso un white hat è l’unico caso in assoluto che conosco”, spiega infatti a TPI il ragazzo. “Evariste Gal0is ha segnalato vulnerabilità a tantissimi siti italiani, compreso i telefonici tipo TIM, e ha sempre ricevuto ringraziamenti”.
Finché questo non accadrà, però, alle persone che hanno un account sulla piattaforma Rousseau, secondo Carimati, non resta che una soluzione per proteggere i propri dati personali da eventuali altri attacchi: “solamente richiedere la cancellazione dell’account”.