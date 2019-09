Coloro che hanno avuto modo di seguire le vicende politiche degli ultimi giorni, avranno sicuramente sentito parlare di Rousseau, la piattaforma utilizzata dal Movimento 5 Stelle per consultare la base e che sarà fondamentale per la formazione del nuovo Governo. Un giornalista di LA7 ha intervistato un consulente della NATO sulla questione.

Gianni Cuozzo, esperto di cybersecurity 28enne, lavora per l'intelligence militare di diversi paesi della Nato, ha avanzato in un'intervista pubblicata su Medium le proprie perplessità sulla sicurezza del sistema Rousseau.

Secondo il ricercatore, le affermazioni di Casaleggio secondo cui il programma per la gestione del login Keycloak non sarebbe mai stato hackerato "sono false", in quanto si tratta di un "software open source che negli ultimi anni ha avuto diversi problemi di sicurezza", ed una conferma può essere trovata cercando su Google "Keycloak cve". Lo stesso riguarderebbe anche le dichiarazioni del figlio del fondatore del M5S sui modulo e framework della piattaforma. "I sistemi aggiornati sono utili solo contro vulnerabilità o tecniche di exploitation note, questo non significa che il sistema sia sicuro o “immune” bensì che non è facilmente aggredibile (il che è già un bene)" ha affermato il ricercatore di sicurezza, secondo cui gli amministratori della piattaforma non devono dormire sugli allori in quanto "non sono da escludere attacchi provenienti da altre nazioni volte a gettare benzina sul fuoco in un momento istituzionale delicato come quello che stiamo vivendo".

L'aspetto più preoccupante è quello che riguarda la possibilità di mettere a segno gli attacchi, nonostante sul blog delle Stelle si faccia riferimento ad un sistema di sicurezza a due fattori tramite codice via SMS. Cuozzo fa notare che "esistono diverse tecniche che hanno dimostrato come sia possibile bypassare questa autenticazione a doppio fattore: alcune possono intercettare il codice di autenticazione rendendo vana la misura di sicurezza". Nell'intervista fa riferimento al sistema di SIM Swapping, che utilizza delle falle nei protocolli di comunicazione delle celle telefoniche, che è stato sfruttato per violare Coinbase e di recente anche per hackerare l'account del CEO di Twitter Jack Dorsey.

Un altro modo per bucare il sistema potrebbe bloccare interamente le operazioni di voto, ed è da ricercare nel tracciamento dell'architettura "che genera il codice che viene inviato via SMS e abbattere uno specifico server". Un attacco di questo tipo potrebbe impedire agli utenti di ricevere l'SMS e quindi effettuare il login nella piattaforma.

Cuozzo senza mezzi termini afferma che il voto per il Governo con il PD può essere monipolato sia dall'esterno che dall'interno, attaccando il database in cui vengono salvati i dati o sovrascrivendo le tabelle a proprio piacimento, il tutto senza che gli utenti se ne accorgano.

Secondo il consulente, non esistono piattaforme inviolabili, anche se queste utilizzano il sistema blockchain.

Lo scorso Aprile la piattaforma Rousseau è stata multata per la presenza di troppe vulnerabilità gravi.