Lo spirito della rete tradito

Lo spirito della rete tradito

Il tradimento dello spirito della “rete internet” è difficile da spiegare per i non addetti ai lavori, seppure riguardi il mancato rispetto per gli utenti della rete e in particolar modo per i dati personali degli iscritti al sito del Movimento 5 stelle (M5S).

L’Autorità “GARANTE PER LA PROTEZIONE DEI DATI PERSONALI” ha emesso il 21 dicembre 2017, ma reso noto il 2 gennaio 2018, un “Provvedimento su data breach” indirizzato ai gestori del sito del M5S, di Beppe Grillo e dell’associazione Rousseau.

Tutto ciò è scaturito dagli episodi dell’agosto 2017 quando gli hacker hanno violato i sistemi informatici del Movimento 5 Stelle.

Il Provvedimento, nella sua chiarezza e sinteticità, dovrebbe essere preso ad esempio da chi studia la Privacy, in particolare in questi primi mesi del 2018 che anticipano l’entrata in vigore del Regolamento GDPR fissato al 25 maggio 2018.

Molti degli appunti fatti dal Garante illustrano carenze nei siti del M5S e mancato rispetto della legge sulla Privacy e del Regolamento GDPR.

Il Garante si spinge fino a indicare agli esperti digitali del M5S gli interventi elementari, da loro ignorati in tutti questi anni, da attuare per porre la piattaforma in sicurezza.

Nell’esteso e dettagliato provvedimento, il Garante indica alla Casaleggio Associati cosa deve fare per rendere più consapevoli gli utenti dei flussi attuati sui loro dati personali.

L’antefatto: ai primi del mese di agosto 2017 più volte la piattaforma del M5S detta “sistema operativo del Movimento 5 Stelle” è stata messa a dura prova da attacchi da parte di hacker: Hacker online dimostra la vulnerabilità di Rousseau: “Ho bucato il sito, dati a rischio” (Repubblica, 2 agosto 2017) e Hacker rivela: il sito Rousseau del M5S non è sicuro (Il Secolo XIX, 3 agosto 2017).

Seppure da parte della Casaleggio Associati si fossero “messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche”, il sito web risultava drammaticamente fallato.

A seguito della segnalazione avvenuta, il 10 agosto 2017 il Garante della Privacy apriva un’istruttoria: Rousseau e hacker: Garante privacy apre istruttoria su intrusione in piattaforma M5s.

Il 2 gennaio 2018 si sono avute le evidenze dell’indagine.

Gli appunti esposti nel Provvedimento del Garante sono la mancanza di rispetto verso gli interessati, espressa attraverso un’informativa carente, in particolare sul Titolare, e totalmente assente verso i Responsabili esterni, cioè i terzi, a cui sono trasmessi i dati degli interessati iscritti ai portali del M5S.

Oltre una leggerezza, prossima all’ignoranza, delle elementari regole di sicurezza informatica che denotano una carenza culturale se non una supponenza che è inaccettabile da chi propugna verso i propri iscritti l’era della democrazia digitale.

Secondo il Garante “I siti web riconducibili al Movimento 5 Stelle che risultano interessati dalla violazione dagli attacchi informatici sono: https://www.movimento5stelle.it; https://rousseau.movimento5stelle.it e www.beppegrillo.it”.

Il garante segnale che per i primi due siti la procedura di registrazione e di creazione dell’utenza è comune e “l’elemento di maggiore criticità di tale procedura è risultato la potenziale debolezza della password scelta in fase di registrazione (è infatti risultato possibile scegliere password di lunghezza inferiore agli otto caratteri)”!

Non è possibile da parte di chi sostiene l’avvento della democrazia basata sulla rete, essere all’oscuro dei pericoli insiti nell’utilizzo di password di breve e limitata lunghezza.

L’ignoranza delle regole della Privacy si evidenziano nell’indicazione del Garante riguardo “I ruoli di titolare e di responsabile del trattamento”. Segnala che nella “galassia del Movimento 5 Stelle”, espressione utilizzata nel provvedimento, è difficile identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di Titolare e di Responsabile del trattamento.

Questo secondo il Regolamento Privacy impedisce di avere chiaro il riferimento del Titolare, e di tutti i soggetti a lui associati, ai quali si declina il consenso per il trattamento dei nostri dati personali.

Prosegue il provvedimento: “dall’analisi delle modalità con le quali vengono gestiti i database riferiti al Movimento, emerge che le predette società, (Wind Tre S.p.A. e ITNET s.r.l.) dovrebbero essere entrambe nominate quali responsabili del trattamento da parte del relativo titolare”.

Questa mancanza “configura l’illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati”.

Altri punti del Regolamento declinano una violazione delle norme elementari di sicurezza come indica il Garante “il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog ww.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro”.

Cioè si opera mediante software free obsoleti e neppure più mantenuti in vita dai produttori.

Segue il Garante “i vulnerability assessment commissionati dall’Associazione Rousseau hanno evidenziato una serie di criticità cui sarebbe stato possibile porre rimedio avvalendosi di una metodologia di sviluppo del software maggiormente strutturata”.

Questo è un vero e proprio schiaffo verso i progettisti dei siti web del M5S!

Nel provvedimento vengono espresse anche perplessità sulla gestione dei dati personali e sulle misure di sicurezza connesse al controllo delle operazioni di “voto” tramite il sito.

Il Garante indica che “il documento trasmesso dalla Casaleggio Associati all’Autorità recante “Estratto delle tabelle principali di Rousseau”, ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma;” In particolare la preferenza espressa dagli iscritti “in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica viene registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti”. “nello schema del database risulta che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza”.

“La possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell’archivio elettronico”.

Tutto questo lascia basiti!

Il Garante, dopo altri rilievi, arriva a proporre una scaletta di attività di manutenzione evolutiva e correttiva che dovranno essere impostate al più presto, comunque entro 60gg dalla data del 21/12/2017.

Indicazioni che qualsiasi novello esperto di sicurezza ICT declina per il sito web dell’amico non informatico.

  1. l’adozione del protocollo sicuro https;
  2. l’adozione di tecniche crittografiche efficaci per la conservazione delle password;
  3. l’avvio di un’opera di correzione delle vulnerabilità segnalate nei report dei vulnerability assessment;
  4. l’avvio di un’operazione di validazione delle utenze volta a eliminare quelle non più utilizzate da lungo tempo e, pertanto, ragionevolmente, abbandonate.

Oltre alla messa a punto delle corrette procedure informative e del consenso per tutti i siti della galassia M5S.

Effettivamente tutto ciò è sconfortante e il Garante Antonello Soro si riserva di valutare sanzioni amministrative nei confronti dell’Associazione Rousseau.

Mi sento di dire che il Movimento 5 Stelle, ritenuto essere il cuore pulsante della democrazia digitale e del voto on line, quello che nella figura di Alessandro Di Battista a fine agosto 2017 diceva: “Abbiamo lavorato molto alla sicurezza del voto, che è una delle funzioni più delicate dell’intero sistema”, ha tradito l’etica e la cultura del web.

Scritto da: Marcello Pistilli