Oggi è il 15 agosto 2017, è Ferragosto, è passata più di una settimana dall’attacco informatico ai siti del Movimento 5 Stelle e Beppe Grillo. Soltanto ora l’Associazione Rousseau ha deciso di nominare R0gue_0, la denuncia contro di lui e contro chi potrebbe aver acquistato il database trafugato. Il comunicato pubblicato oggi sul “Blog delle Stelle” dal titolo “I sicari informatici non fermeranno il MoVimento 5 Stelle” è utile a chi vuole difendere il Movimento 5 Stelle, è ovvio e assolutamente comprensibile, ma così come Rousseau e il Blog di Beppe Grillo avevano delle falle anche questo presenta dei buchi enormi.
Che R0gue_0 fosse stato denunciato lo si era compreso già il 10 agosto (come riportato sul mio blog), è più che ovvio che sia stato compiuto un illecito da parte sua ai danni non solo del Movimento 5 Stelle, ma di tutti gli attivisti e iscritti ai relativi siti presi di mira.
Il MoVimento 5 Stelle ha subito degli attacchi criminali da parte di sicari informatici che si sono palesati con il nome di R0gue_0. Questi criminali hanno violato il sistema di sicurezza del Sistema Operativo Rousseau, hanno avuto un accesso illegale a dati, hanno pubblicato alcuni di questi, hanno affermato di averli messi in vendita per 0,3 bitcoin (circa 800 euro) e successivamente di averli venduti. Abbiamo denunciato questi atti criminali alla polizia postale e chiesto loro che “vengano accertate eventuali responsabilità, ad esempio a titolo di ricettazione ex art. 648 cp, da parte di eventuali acquirenti, a qualsiasi titolo, di quanto illecitamente sottratto dal sito Rousseau”.
Nel comunicato si evidenziano molte cose. In precedenza avevano sostenuto con estrema sicurezza che non era stato violato alcun voto all’interno della piattaforma Rousseau, parola del deputato Tofalo:
«Escludo completamente che questo possa essere successo. Inoltre l’attacco non è avvenuto durante una fase di voto—spiega Tofalo —In questi giorni stiamo procedendo a controlli sul sistema di votazione: agli iscritti è stato chiesto di verificare il numero di telefono per aggiungere un altro livello di protezione all’account».
Oggi, invece, viene sostenuto ciò:
E’ come se la porta di casa di Rousseau fosse stata forzata da dei ladri professionisti che hanno fatto razzia di quanto trovato all’interno dell’abitazione. Purtroppo non sono stati colti in flagrante, ma ciò non toglie gravità al loro atto.
Buongiorno! La gravità del fatto è evidente, ma ammettono di non essersene mai resi conto dell’intrusione e di conseguenza non possono ritenersi sicuri nella maniera più assoluta che i voti (come ad esempio le “Regionarie” in Sicilia, di cui avevo parlato nel mio precedente articolo e di cui gradirei leggere la certificazione dell’ente terzo).
Ci sono alcune frasi che mi dispiace leggere all’interno del comunicato, partendo da questa:
E’ come se la porta di casa di Rousseau fosse stata forzata da dei ladri professionisti […]
La porta non è stata forzata, era spalancata con tanto di tappeto rosso. Evarist, l’hacker “buono” che voleva dare loro una mano e poi trattato a pesci in faccia, aveva spiegato le falle che avevano all’interno del portale Rousseau, l’associazione le ha confermate nel suo comunicato del 3 agosto sostenendo di averle risolte con la nuova versione. Erano di una banalità sconcertante a livello di sicurezza informatica, mancavano le misure minime di sicurezza. Lo stesso vale per il Blog di Beppe Grillo, con elementi come password in chiaro e mancanza dei protocolli di sicurezza HTTPS.
Proseguiamo:
Ci saremmo aspettati solidarietà da parte di tutti, ma questa non è arrivata da nessuna parte. I partiti si sono distinti solo per uno squallido sciacallaggio politico con dichiarazioni, in particolare di esponenti del Pd, completamente fuori da ogni logica e senza mai prendere le distanze dagli atti criminali che il MoVimento 5 Stelle ha subito. Anche i media si sono distinti per una totale incomprensione del fenomeno (si spera che non sia complicità), arrivando a dipingere questi criminali informatici come degli eroi con tanto di interviste sui principali quotidiani nazionali. Se un topo d’appartamento avesse svaligiato la sede del Pd e poi venduto la merce rubata avrebbe ricevuto lo stesso trattamento? Si fatica davvero a crederlo.
Se si aspettavano solidarietà sbagliavano fin dall’inizio, vi spiego semplicemente perché. Parliamo di una persona che attraverso le sue attività ha violato e resi pubblici quantità di materiale confidenziale e personale. Hanno fatto anche una foto con lui, si chiama Julian Assange ed è cofondatore e caporedattore della piattaforma Wikileaks.
“Abbiamo incontrato Julian Assange, giornalista, editore, esperto di sicurezza informatica e fondatore di WikiLeaks. Da 3 anni gli USA lo hanno messo sotto accusa per le pubblicazioni di WikiLeaks. […] Abbiamo deciso di incontrare Assange perché con lui condividiamo le battaglie per la trasparenza dell’informazione, per la libera circolazione delle notizie e per la libertà di stampa, diritti che aumentano il livello di consapevolezza dei cittadini. Nascondere le informazioni è uno dei tanti modi che i potenti hanno per accrescere il proprio potere personale. Julian è un combattente.
Nel 2010 si diceva:
In queste ore il governo italiano teme la fuga di notizie presenti in rapporti segreti dell’amministrazione americana che saranno divulgate da Wikileaks. Gli Stati Uniti, che devono per forza conoscere i contenuti, hanno avvertito l’Italia dei danni che deriveranno all’immagine internazionale del nostro Paese. Le rivelazioni devono essere molto gravi per sputtanare l’Italia più di adesso.
È normale che la stampa ci vada dietro, è una notizia non da poco riguardante la sicurezza informatica del primo partito d’opposizione in Italia e papabile ad un prossimo governo italiano che proprio sull’informatica pone le fondamenta del suo processo politico. Se il Partito Democratico si fosse degnato di fare una piattaforma simile a Rousseau e avessero subito una violazione da parte di hacker, diffondendo dati in chiaro e dimostrandone la vulnerabilità, avremmo assistito ad una campagna social da parte dei loro oppositori etichettandoli come incompetenti (giustamente).
Un grave errore di comunicazione, ma utile a convincere i propri lettori, è la seguente dichiarazione:
I dati che sono stati divulgati dall’hacker si sono dimostrati comunque privi di fondamento, come dimostra la finta donazione di un milione di euro da parte del segretario del Pd.
La finta donazione di Matteo Renzi era stata citata da R0gue_0 come un test facendo comprendere che le possibilità di alterazione e scritta da parte di esterni nel database era fattibile (interpretabile anche il suo tweet “INSERT INTO”). Inoltre, c’erano dati in chiaro come email, numeri di cellulare, la mia password e quella di altre persone in chiaro sbandierate online. Si rendono conto oppure no dei problemi legali in cui possono correre? Lo avevo scritto nel mio articolo del 10 agosto rispondendo alla domanda “L’unico reato lo ha fatto l’hacker?“:
Assolutamente no. Sebbene l’hacker sia stato denunciato (gli esponenti del M5S hanno dichiarato che è partita la denuncia presso le autorità competenti) a rischiare sono i responsabili del trattamento di dati personali della piattaforma Rousseau e del Blog di Beppe Grillo:
[…]
Per farla breve, considerando la normativa vigente (PDF), il titolare del trattamento dei dati personali deve obbligatoriamente per legge adottare le misure minime di sicurezza affinché non ci siano rischi di diffusione non autorizzate dei miei dati (art. 31 e 33 del Decreto legislativo 30 giugno 2003, n. 196). La falla segnalata dagli hacker era la base per un’intrusione, quindi in mancanza di misure di sicurezza adeguate per evitare ciò che è accaduto il titolare rischia di essere punito con il pagamento di una multa (art. 162 del Decreto legislativo 30 giugno 2003, n. 196) da 10 mila euro a 120 mila e una pena detentiva fino a 2 anni (art. 169 del Decreto legislativo 30 giugno 2003, n. 196).
Dimostrando tali violazioni sono comprensibili e accettabili i dubbi riguardante l’esito delle votazioni, soprattutto se non seguite da una certificazione da un ente terzo (lo ripeto ancora, leggete l’articolo del 10 agosto).
Concludiamo con questa parte:
Invitiamo tutti a non sottovalutare quanto accaduto. Il fine di questo crimine è chiaramente politico e volto a colpire il MoVimento 5 Stelle. I sicari informatici hanno svenduto i dati che hanno rubato per appena 800 euro, nonostante abbiano affermato che stessero lavorando da mesi alla loro acquisizione. L’Associazione Rousseau non ha ricevuto nessun ricatto di tipo economico per evitare la duffusione dei dati. Non è quindi una motivazione economica quella dietro l’operato dei ladri informatici. L’unica motivazione che siamo in grado di decifrare è quella politica, visto che questi criminali hanno cercato solo la ribalta mediatica, subito concessa da giornali e tg compiacenti e ribadita dalle dichiarazioni di sostegno dei partiti politici, dai quali purtoppo non è arrivata nessuna parola di condanna.
Non è ricevendo un ricatto che si dimostra un presunto attacco politico. Perché evidenziare il problema per poi far correre ai ripari se si poteva mantenere una segretezza e prelevare ieri, oggi e domani altri dati utili per essere venduti al miglior offerente? Cercate di comprendere la rabbia dimostrata da R0gue_0 nei confronti di Evarist, il quale con il suo intervento ha costretto i gestori dei relativi siti a prendere la situazione in mano e porvi rimedio. Ripeto: sono la primo partito d’opposizione in Italia e papabile ad un prossimo governo italiano, avere delle falle del genere poteva convenire a chiunque volesse manipolare i dati al suo interno per scopi puramente politici.
Per il bene del Movimento, seguite il mio consiglio: spegnete tutto, chiudete temporaneamente i siti, fateli controllare da un ente terzo “con le palle” che vi fornisca tutte le protezioni possibili per garantire i vostri iscritti e gli attivisti. Online la comunità degli esperti di informatica, di sicurezza e dei “whitehat” è sconcertata e questi ultimi stanno perdendo la voglia di aiutarvi dopo il caso di Evariste, brutto errore.
