Sono due gli hacker che sono intervenuti, con modalità e intenzioni completamente differenti, sulla piattaforma Rousseau del Movimento 5 Stelle. Il primo, Evariste Gal0is, è l’unico che si è reso disponibile a rilasciare dichiarazioni ed interviste (come quella citata dal Corriere riprendendo AGI). In seguito al nuovo articolo pubblicato sul suo sito dal titolo “Parte 1: dump e le password“, scritto insieme a Antonio Sanso, riporto questa intervista dove gli pongo qualche domanda confidando nell’etica che dovrebbe contraddistinguere un White Hat (“hacker etico“)
Cosa ti porta a fare l’hacker? Come descriveresti un White Hat?
Non mi definisco un hacker, non lo sono. Sono appassionato di sicurezza informatica, nel tempo libero cerco e segnalo vulnerabilità ai webmaster, insomma un passatempo che dopo la divulgazione della vulnerabilità in Rousseau è diventato molto più stressante. Questo è uno (e principale) dei motivi per cui sono scomparso da Twitter qualche giorno: troppa visibilità e troppa pressione. Per la definizione di White Hat penso che Google possa offrire risultati migliori, però personalmente cerco di seguire dei principi di “buona condotta”: cerco di avvisare l’amministratore, di ottenere risposta, e a volte pubblico la vulnerabilità senza dare troppe informazioni. Solitamente aspetto che venga sistemata prima di pubblicare, se dopo diverso tempo e segnalazioni nulla è stato fatto rifletto se renderla pubblica completamente. Non per vendetta, sia chiaro, ma perché a volte una public disclosure funziona meglio delle molte segnalazioni per farvi porre rimedio. Mi attengo alle linee guida del sito OpenBugBounty comunque.
Cosa ti ha spinto a verificare la sicurezza della piattaforma Rousseau?
Semplice caso. Nel tempo libero cerco in prevalenza XSS nei siti, solitamente italiani, mi è capitato sotto il naso il blog di Grillo, poi mi sono spostato di link in link cercando varie vulnerabilità e sono finito anche sugli altri domini collegati, tipo *.movimento5stelle.it.
L’associazione Rousseau aveva scritto nel Blog delle Stelle “Valuteremo l’azione legale da intraprendere nei confronti dell’hacker, il cui attacco è assolutamente da condannare, anziché osannare come fanno i giornali. In ogni caso il suo sito è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. Poi però sei tornato, così come il tuo sito. Che è successo?
Come ho già detto, credo, da Twitter mi sono eliminato per l’eccessiva visibilità e per la pressione che mi faceva provare: non ero più tranquillo, la notizia si diffondeva molto velocemente, non sapevo come gestire tutta quella visibilità e non mi piaceva. Quindi l’ho disattivato. Il sito è caduto a causa delle troppe visite invece, Byethost è gratuito fino a un certo numero di visitatori ogni 24h, il sito il primo giorno ha superato le 50000 visite ed è stato sospeso dal servizio di hosting. È tornato online finite le 24h di stop, o insomma quando Byethost ha deciso che il contatore si riazzerava. L’ho modificato togliendo il paragrafo Dimostrazione, anche se è ancora facilmente reperibile online tramite cache o qualche screenshot. Ho lasciato i paragrafi FAQ e Conclusione perché reputo quei suggerimenti utili e sensati anche se sembra che chi gestisce il blog non c’abbia fatto caso.
C’è il sospetto che tu e R0gue_0 siate la stessa persona, probabilmente in cerca di vendetta dopo il trattamento subito. Cosa rispondi a questa teoria?
Ho visto che è una teoria lanciata anche dal Corriere, ovviamente mi spiace che ci sia questa ipotesi, nego di essere r0gue_0 e ne condanno il gesto, ha diffuso dati in maniera indiscriminata, davvero inutile. Detto ciò però è un’ipotesi possibile e quindi è anche giusto che qualcuno la ponga. Io spero non venga scioccamente alimentata però, e spero si sia notato il modo totalmente differente che abbiamo di gestire la questione.
Hai una vaga idea di chi possa essere R0gue_0 e perché abbia usato certi toni nei tuoi confronti?
Non so chi sia, e non so perché possa avercela con me.
R0gue_0 citava con insistenza Iron71 (“Who’s that people? who’s iron71?”). Basta una semplice ricerca online per capire a chi si riferisce. Secondo te come mai ce l’ha tanto con lui?
Non so rispondere nemmeno a questa domanda, non mi sono molto interessato a quel tweet sinceramente.
Hai dato anche un’occhiata agli altri siti legati al Movimento 5 Stelle, come Beppegrillo.it e “Il Blog delle Stelle”?
Sì, ho cercato vulnerabilità anche su altri domini, tipo beppegrillo.it. Questo ben prima di trovare la vulnerabilità SQLi, li avevo segnalati tramite il sito OpenBugBounty, ma forse le segnalazioni non sono arrivate oppure sono state ignorare. Avevo trovato qualche vulnerabilità XSS.
Nonostante il trattamento nei tuoi confronti da parte dell’Associazione Rousseau hai continuato a fornire loro informazioni per coprire le nuove falle riscontrate? Se si, come le hanno accolte?
Dopo il post sul blog ero restio a comunicare in futuro ulteriori vulnerabilità. Quando ho visto però che r0gue_0 stava diffondendo dati pubblicamente mi sono messo a cercare ulteriori parametri vulnerabili. Il giorno dopo ho inviato una e-mail segnalando un’altra vulnerabilità grave, mi hanno risposto ringraziandomi della segnalazione ed è finita lì. Non sono però più propenso a segnalare vulnerabilità visto la risposta che mi hanno riservato.
Qualcuno ha affermato che R0gue_0 potrebbe essere stato commissionato per fare tutto ciò. Una sorta di complotto per danneggiare il Movimento 5 Stelle.
Evito le teorie di complotto, dubito sia così.
Mi sorge da giorni una domanda. Se il livello di sicurezza era così basso, quanti mal intenzionati potrebbero aver avuto accesso al database senza che se ne accorgessero?
Domanda intelligente che speravo fosse il cuore degli articoli usciti ma così non è stato. Il problema è che non si sono accorti delle intrusioni probabilmente, non hanno un qualche Firewall che li avverta o se ce l’hanno non vale niente. Non so ora come gestiranno la cosa, per ora non hanno commentato la diffusione dei dati, personalmente mi sembra stiano gestendo la situazione in maniera poco trasparente e sbagliata.
È possibile che siano stati modificati i voti degli attivisti?
Non mi sento di escludere questa possibilità, ma lo reputo non facile dall’esterno. Però le password erano craccabili quindi potenzialmente si potevano alterare le votazioni (votando al posto altrui) senza per forza modificare i database, per esempio. Per questo esponevo il problema della lunghezza delle password.
Wikileaks e Assange sono stati citati più volte, con simpatia, nel Blog di Grillo. Come mai, secondo te, se la sono presa con te definendo il tuo un “attacco” senza aver diffuso contenuti?
Non lo so, non pensavo avrebbero reagito così.
Cosa ne pensi di questo lungo silenzio della Casaleggio in merito a R0gue_0?
Come ho già detto penso che abbiano sbagliato e stiano sbagliando la gestione della vicenda: una maggior trasparenza con gli utenti sull’accaduto sarebbe stata più seria e ben vista. Capita di commettere errori nel codice, capita di subire attacchi e perdere dati. Se però si avvisano gli utenti e gli si dà consigli su come gestire la perdita dati si fa già un grande passo in avanti. Non hanno nemmeno consigliato di cambiare le password.
Vorresti dire ancora qualcosa?
Voglio rimarcare il fatto che non era un attacco politico e che non sono io r0gue_0.
Fin da subito Evariste Gal0is è stato sempre cordiale ed educato nel rispondere alle domande. Dalle risposte fornite si evidenzia il suo senso etico e tanto di “cappello bianco” per aver continuato a dare una mano all’associazione Rousseau segnalando le altre falle di sicurezza nei giorni successivi alle rivelazioni di R0gue_0. Devo dire che lo apprezzo molto.
Risulta evidente dalle sue dichiarazioni che fossero presenti falle di sicurezza all’interno anche della “nuova” piattaforma Rousseau, che spero abbiano corretto, ma sta di fatto che dovranno contare con qualcun altro per trovarne altre ed eventualmente pagare profumatamente per il servizio (per ora fornito gratuitamente da Evariste).
