Con il via alle votazioni per l'elezione del candidato premier del Movimento 5 Stelle torna a farsi vivo su Twitter Evariste Galois, l'hacker 'buono' (withe hat, in gergo) che l'8 agosto denunciò lo scarso livello di sicurezza dei server della Casaleggio Associati. "Penso che i problemi di Rousseau che ho evidenziato allora siano stati risolti. Però ho provato ad inserire un parametro che il sito non si aspettava e ho ricevuto un messaggio d'errore che non fa presagire nulla di buono".
"Un errore che non fa presagire nulla di buono"
Questo segnale d'errore potrebbe essere la 'spia' che qualcosa nei server della Casaleggio ancora non va - l'azienda, contattata da Agi nei giorni scorsi, ha rifiutato di commentare l'attuale situazione di sicurezza. Ma questa nuova vulnerabilità però potrebbe non poter essere utilizzata per violare i database. A chi su Twitter chiede a Evariste di "entrare e cambiare i voti" lui risponde: "Sono totalmente disinteressato".
Il withe hat sostiene di non aver tentato nuovamente l'accesso ai database ma di aver solo modificato il valore di un parametro presente su un link pubblico e di aver ricevuto dal sito un messaggio di errore, che, potrebbe essere la spia di una possibile porta d'accesso ai database. Questa operazione viene fatta generalmente con una tecnica chiamata Sql Injection e che serve ad attaccare i dati di un sito sfruttandone le vulnerabilità della sicurezza. Evariste ribadisce di non aver tentato questa volta di entrare, come aveva fatto ad agosto.
Rousseau è lento, ma difficile che sia per via di un attacco
Difficile dire se adesso sia in corso un attacco a Rousseau e se sia questo il motivo della lentezza con cui si stanno svolgendo le operazioni di voto (dovrebbero essere circa 100mila i votanti). Sui social intanto diversi iscritti hanno lamentato di non riuscire a dare le loro preferenze ai candidati per errori del sistema. Giovedì mattina ad Agi Danilo Toninelli aveva detto che attacchi hacker a Rousseau "sicuramente ci saranno" ma che la Casaleggio "ha lavorato in questi mesi per aumentare la sicurezza della piattaforma".
Evariste Galois invece dice che gli errori che sta dando Rousseau dimostrano solo che "Il database non è ancora ben configurato". Lui, che mutua il suo nome su Twitter dal matematico francese noto per i suoi teoremi di algebra e morto a 21 anni in duello, non spiega meglio cosa può succedere: "Non mi sono permesso di fare test di nessun genere, visto la precedente risposta ricevuta in una situazione analoga", riferendosi alle accuse che gli sono state rivolte dal blog di Beppe Grillo (che in quel caso minacciò azioni legali) dopo aver pubblicato le criticità di Rousseau, ma aggiunge: "Se la vulnerabilità fosse sfruttabile allora sì, si potrebbe trattare dello stesso errore di quello denunciato ad agosto".
Un altro hacker aveva dimostrato di avere privilegi da amministratore
Quindi qualche criticità sarebbe stata riscontrata ma non si può dire che sia la stessa denunciata il 7 agosto e che, secondo quanto risulta ad Agi, avrebbe potuto permettere anche la modifica del voto online. Sappiamo infatti che un altro hacker, su Twitter Rogue_0 ha pubblicato in queste settimane diversi screenshot nei quali dimostrava di avere privilegi per modificare le operazioni di voto, o direttamente i voti nei database della Casaleggio. Tuttavia, l'aumentata sicurezza dei server fatta nelle ultime settimane dalla Casaleggio associati potrebbe averlo davvero messo fuori gioco come avevano assicurato dall'azienda dopo il primo attacco.