L’hacker che nei giorni scorsi ha bucato Rousseau, la piattaforma del Movimento 5 Stelle, è sparito. Cancellato l’account Twitter, cancellato il suo sito in cui dava indicazioni dettagliate sulle criticità di sicurezza della creatura della Casaleggio Associati, cancellata ogni traccia negli archivi della rete di quello che ha fatto e denunciato.
Lui in rete si faceva chiamare Evariste Gal0is. Nessuno ovviamente conosce la sua identità. In questi giorni di lui hanno parlato tutti i quotidiani nazionali, da La Stampa che è riuscito ad intervistarlo a Repubblica, che ha ricostruito la vicenda.
"Mi hanno risposto, poi non mi hanno più contattato"
Gal0is è un white hat, un hacker, ma di quelli buoni. Da quello che ha raccontato ai giornali è stato in grado di entrare nella piattaforma del Movimento in maniera piuttosto facile. E’ riuscito ad immettere dei comandi all’interno delle reti del sito che le hanno ‘aperte’, consentendogli di avere accesso al database di Rousseau (qui la Stampa spiega come ha fatto). Potenzialmente a tutte le informazioni contenute: dati personali, nomi, cognomi, indirizzi, voti, scelte politiche, preferenze, le donazioni fatte al sito della Casaleggio.
A La Stampa ha risposto ieri, raccontando che "Il giorno dopo [la segnalazione] mi hanno contattato via e-mail, dicendomi che stavano lavorando per risolvere il problema. Avevano applicato un primo fix e mi chiedevano se andava bene e se conoscevo altre vulnerabilità simili. Ho risposto spiegando che [la soluzione] era incompleta e il parametro rimaneva vulnerabile. Ho inoltre detto loro che vulnerabilità simili, cioè ulteriori parametri vulnerabili a SQL injection, non ne conoscevo, ma che non reputavo sicuro il sistema, essendo il sito beppegrillo.it e [i sottodomini del sito] movimento5stelle.it pieni di altre vulnerabilità. Dopo questa e-mail non sono stato più contattato. Li ho avvisati che avrei diffuso la notizia della vulnerabilità senza rivelare informazioni sul parametro vulnerabile".
Craccate 136 password di iscritti a Rousseau
Gal0is scriveva nel suo sito che un altro problema di Rousseau, nella sua versione attuale, è che “la richiesta di avere password di almeno otto lettere, una cifra che invoglia a scegliere una data e provare un attacco di forza bruta. C’è un programma - continua il sito - che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online". Ora quelle informazioni, quei dati, quelle spiegazioni non sono più disponibili. E l’hacker non ha risposto alla mail che avevamo trovato sul suo sito, e che ha consentito ad alcuni organi di stampa in questi giorni di entrarci in contatto.
Perché l'hacker ha cancellato tutto?
“Aver cancellato tutto è piuttosto indicativo, significa che o è stato contattato da qualcuno o qualcuno gli ha detto che non era giusto fare qualcosa del genere”. Ha detto ad Agi Matteo Flora, hacker, amministratore di The Fool, società che si occupa di reputazione online. “Bisogna capire se in giro c’è un dump (un ‘magazzino’ dove sono contenuti tutti i dati a cui l’hacker ha avuto accesso, ndr). Ma non credo ci sia”. Alla fine lui ha fatto tutto alla luce del sole, ha detto e scritto online di aver contattato gli amministratori di Rousseau, senza ottenere risposta. “Ma probabilmente quando lui ha raccontato quello che ha fatto ai giornali, qualcuno ha cercato di capire se ci fossero altre criticità oltre a Sql injection, quella che ha evidenziato lui”. E’ probabile che qualcuno ci abbia provato. “E’ come se in casa tua hai 20 porte di ingresso, ne trovi una rotta e magari tenti di ripararla. Ma le altre 19?”. Ecco, quello che sospetta Flora è che in questo momento qualcuno stia provando a entrare nelle altre porte alla ricerca di una falla grande quanto quella scoperta da ‘Gal0is’.
L'attacco dimostra la vulnerabilità della piattaforma dei 5 Stelle
E’ possibile? “Beh questo attacco, riuscito, ci racconta che il sito è vulnerabile. Ci racconta che probabilmente non è stato fatto con uno dei framework sul mercato, perché oggi quasi tutti prevengono gli attacchi come quello che è stato portato a termine”. Si tratta di basilari sistemi di protezione che hanno tutti i siti, e che uno che punta ad avere un milione di iscritti, militanti politici, di una delle principali forze politiche del Paese dovrebbe avere. “Non solo il sistema è scritto evidentemente male”, continua Flora, “In più è evidente che non c’è un web application firewall in grado di bloccare l’attacco, ovvero un sistema che nota qualcosa che non va e lo blocca. Manca tutta la catena di gestione della sicurezza necessaria in un progetto di media grandezza, figuriamoci con uno che punta a 1milione di iscritti”.
Possibili altri attacchi in passato, meno 'buoni'
Ma la cosa che più lascia perplessi è che il fatto che l’attacco sia riuscito lascia aperta la possibilità che anche in passato ci siano stati attacchi simili. Potenzialmente in grado di influenzare le votazioni su temi specifici. E che in futuro, quando i pentastellati saranno chiamati a dare la loro preferenza per il candidato premier, potrebbe far deflagrare ulteriori criticità, in grado di influire enormemente sulla politica nazionale. “Gli attacchi dovrebbero essere registrati nei ‘Log’, una sorta di registro che traccia le intrusioni e le criticità. E anche questi attacchi dovrebbero essere stati registrati da qualche parte, e qualcuno dovrebbe averli controllati”.
Le questioni ancora senza risposta di questa vicenda
Rimangono aperte alcune questioni:
- Per quanto tempo l’hacker ha avuto accesso indisturbato a Rousseau?
- Qualcuno alla Casaleggio se ne è accorto prima che tutto venisse scritto sulle pagine dei giornali?
- Ci sono stati altri attacchi dopo quello che è stato fatto nei primi giorni di agosto?
- Perché l'hacker ha deciso di cancellare quanto ha scoperto?
Aggiornamento delle 19.39. Ad alcune di queste domande ha risposto il blog di Grillo, dicendo che l'attacco c'è stato ma che sarebbe stato fatto alla precedente versione di Rousseau, senza violare le votazioni.