PRIMO PIANO

Di Maio offre Rousseau ai Gilet gialli, ma manca la sicurezza

David Puente - 07/01/201916:37

La piattaforma Rousseau, vittima di diversi attacchi informatici, è disponibile per il movimento francese. Il rischio di intrusione è ancora elevato

Il vicepremier Luigi Di Maio porge una mano al movimento dei gilet gialli invitandoli a non mollare. Lo fa attraverso un comunicato a sua firma su Il Blog delle Stelle dove, dopo aver enfatizzando le lotte comuni come la democrazia diretta, conclude con una sorta di offerta di alleanza europea a partire dalla disponibilità di disporre della piattaforma Rousseau.

 

 

Sul piano politico nulla da dire, l’offerta è ampiamente legittima anche in vista delle prossime elezioni europee sebbene ci siano alcune differenze tra i due movimenti, mentre in merito alla piattaforma di voto (ancora oggi definita erroneamente “sistema operativo”) c’è ancora molto da discutere.

 

 Uno degli ultimi attacchi di del Blackhat R0gue_0.

 

Le problematiche legate a Rousseau riguardano soprattutto la sicurezza, messa a dura prova a partire dall’agosto 2017 con le ripetute intrusioni informatiche ad opera del pirata informatico R0gue_0, l’ultima risalente all’8 settembre con la pubblicazione via Twitter di alcuni dati rubati dal loro database, come il numero di cellulare del ministro Danilo Toninelli e quelli di due soci della Casaleggio Associati.

 La pagina per le segnalazioni a Rousseau.

 

Una novità interessante, sul fronte Rousseau, c'è. A quanto possiamo osservare è stata aggiunta una sezione dove è possibile segnalare una vulnerabilità (sicura o sospetta) sulla piattaforma. Un semplice form dove è possibile scrivere la descrizione del problema, ma non è specificato in alcun modo in che maniera è possibile riscontrarlo. Cosa succede se un Whitehat testa la vulnerabilità sul database attraverso una Sql injection?

 

 Evariste Gilois (fotogramma dal documentario "The Choice")

 

Mancano quelle che potremmo definire le “regole di ingaggio” per un penetration test, ma la segnalazione anonima potrebbe rendere tutto ancora più complicato per chi segnala una vulnerabilità perché non avrebbe in nessun modo la prova di aver voluto aiutare i gestori della piattaforma, fondamentali nel caso del Whitehat Evariste Galois che ancora oggi si ritrova una denuncia a suo carico da circa un anno.

 

In presenza di tali lacune è possibile valutare ciò che è facilmente riscontrabile grazie ai dati forniti apertamente dalla stessa piattaforma, ossia il file "mt-check.cgi" che espone pubblicamente e in modo indiscriminato informazioni su versioni e moduli installati. In pratica, danno la possibilità a un Blackhat di scoprire con maggiore facilità le vie giuste per introdursi.

 

 Il pannello utente del Movimento dove poter cambiare password e numero di cellulare.

 

A nulla serve l’autenticazione a due fattori attraverso l’invio di un codice via SMS per accedere a Rousseau. Per modificare il proprio numero di cellulare è ancora possibile accedere con le stesse credenziali, e senza SMS, al vecchio sito Movimento5Stelle.it gestito da un content manager system (CMS) ancora obsoleto (e per nulla mobile friendly).

 

GLOSSARIO

Sistema operativo: è un software di sistema che gestisce le risorse hardware e software della macchina (es. Windows).

Piattaforma web: è un software di base sul quale i programmi e le applicazioni sono sviluppati e/o eseguiti. Wordpress è una piattaforma di blog (CMS).

Content manager system (CMS): il software che gestisce i contenuti di un sito web senza che il webmaster abbia le conoscenze tecniche di programmazione.

Hacker: esperto di sistemi e sicurezza informatica. Viene chiamato Blackhat se si introduce e viola illegalmente una rete o dei computer per rubarne o danneggiarne il contenuto. Contrariamente al blackhat, il Whitehat è un operatore etico che informa e aiuta i proprietari delle reti informatiche per migliorare la loro sicurezza.

Penetration test: processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato (fonte).

Sql injection: è una tecnica usata per attaccare applicazioni di gestione dati (database).

Autenticazione a due fattori: un metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale (fonte).

 

Loading ...
Failed to load data.