Referendum in Lombardia a rischio hacker?

Ott 20, 2017 Marco Schiaffino Gestione dati, Hacking, In evidenza, Intrusione, Leaks, News, RSS 0

Individuati server che contenevano parti di codice, certificati e informazioni sul software che verrà usato per le votazioni. Tutto accessibile a chiunque.

Il primo esperimento di voto elettronico in Italia (in occasione del referendum consultivo per l’autonomia della Lombardia) si terrà tra due giorni, ma le premesse per quanto riguarda la sicurezza del voto non sono le migliori.

A sollevare qualche dubbio, in particolare, è il fatto che sia stato individuato un server “aperto” e accessibile a chiunque che conteneva “svariati gigabyte di software, certificati, istruzioni relative a parti di software del voto, pezzi di codice, macchine virtuali e password, nomi utenti e chiavi di autenticazione di possibili amministratori del sistema”.

A individuarlo è stato Matteo Flora e a riportarlo il Corriere della Sera, che in un articolo ha dato notizia della scoperta. Flora ha spiegato di aver trovato il server effettuando una semplice ricerca. Il server è stato “chiuso” dopo che lo stesso Flora ha inviato una segnalazione al team di emergenza della Pubblica Amministrazione. È impossibile sapere, però, per quanto tempo siano rimasti esposti e se qualcun altro ci abbia potuto mettere le mani.

Il proprietario dei dati, cioè l’azienda SmartMatic a cui Regione Lombardia ha affidato la realizzazione del software e da cui ha acquistato i tablet per il voto (costo complessivo dell’operazione 23 milioni di euro) ha ribattuto sostenendo che “le informazioni viste dall’hacker non sono sensibili e confidenziali — sono applicazioni che consentono operazioni per il coordinamento della logistica — e in alcun modo sono riconducibili al voto elettronico”.

Il referendum consultivo sarà il primo (costosissimo) esperimento di voto elettronico. E i timori per la sicurezza del voto forse non erano così infondati…

Sarà, ma anche si fosse trattato di dati qualsiasi, il fatto che fossero su un server accessibile senza autenticazione rappresenta per lo meno un indizio di una certa sciatteria nella gestione delle informazioni, che nessuno si aspetterebbe da una società che si occupa di un’attività “sensibile” come quella elettorale.

D’altra parte il curriculum dell’azienda con sede in Inghilterra (ma con un “cuore” venezuelano) non è dei più immacolati. Il presidente Antonio Mugica, che le autorità statunitensi non hanno mai visto di buon occhio a causa di presunti legami con il governo venezuelano, si è dovuto in passato fronteggiare con situazioni per lo meno “spinose”.

Tra i precedenti ascrivibili a SmartMatic, per esempio, c’è il flop delle elezioni a Chicago nel 2006 (gestite dalla controllata Sequoia) in cui si sono verificate gravi irregolarità tra cui voti espressi da elettori che sono poi risultati deceduti prima delle elezioni.

Ma non solo: SmartMatic è anche al centro di un procedimento giudiziario nelle Filippine in cui l’azienda è stata accusata di aver violato la legge modificando lo script che gestiva il voto mentre la consultazione era già in corso.

In realtà, almeno per quanto riguarda il referendum lombardo, il rischio che l’esposizione dei dati possa portare alla manipolazione delle procedure di voto dovrebbe essere minimo. Stando a quanto si è saputo sulle modalità di voto, queste avverranno infatti attraverso dispositivi non collegati a Internet e i voti stessi verrebbero poi consegnati fisicamente (su schede di memoria protette da crittografia) per il conteggio finale.

Il fatto che informazioni sul software usato per la votazione possano essere finite nelle mani di chiunque però, non è particolarmente rassicurante.

Condividi l'articolo

Antonio Mugica, hacker, Matteo Flora, Referendum Lombardia, Sequoia, server, SmartMatic

Attenti alla botnet Reaper: 2 milioni di dispositivi IoT nelle mani dei pirati Attività sospette sul Web. I pirati cercano le chiavi per SSH dei siti WordPress