Ci siamo, ogni tanto torna e fa la sua sparata. Qualche settimana fa il buon Ghiringhelli, attraverso una petizione, ha proposto al Consiglio di Stato di incaricare uno specialista allo scopo di introdurre la raccolta firme via internet.
Fin qui tutto bene, giusto? No, non è proprio così. Soprattutto perché un personaggio che possiede una sito che sembra uscito dagli anni ’90, non dovrebbe mischiare sicurezza IT e democrazia.
L’uscita del Ghiro non è fatta a caso. Si tratta di una presa di posizione per contrapporsi a quanto vorrebbero fare i Giovani liberali-radicali di Lucerna: lanciare un’iniziativa popolare federale per chiedere che l’e-voting venga proibito, almeno finché la sicurezza non sia allo stesso livello di quella garantita dal voto tradizionale.
E ad oggi infatti la sicurezza di queste piattaforme è assai carente, come dimostrano le varie violazioni subiti da Rousseau, il software di voto elettronico del Movimento 5 stelle o il sistema I-Voting estone, che soffre di “serious design weaknesses” secondo gli analisti di sicurezza informatica.
Certamente, ma in condizioni controllate! È notizia di questi giorni che tra febbraio e marzo si potranno sferrare attacchi al sistema di e-voting della Posta, per confermarne la sicurezza. Un’operazione del genere ha motivi puramente mediatici, per poter dire “visto? Il nostro sistema è sicuro!”.
Purtroppo se degli hacker avessero realmente intenzione di interferire con il processo democratico svizzero, cercheranno l’obbiettivo più semplice da colpire: l’utente finale.
Se si possono ricevere fior fiore di certificati per il proprio sistema centrale, altrettanto non si potrà fare con tutti i computer e device che gli utenti utilizzeranno per votare. L’anello debole di questi sistemi è proprio questo, fin tanto che non si potrà essere certi della sicurezza lato dell’utente, il sistema rimarrà vulnerabile.
Inoltre dobbiamo considerare che un’eventuale interferenza non verrebbe effettuata da giovani sbarbati, come siamo abituati ad immaginare gli hacker, con il solo obbiettivo di mettere alla prova la propria bravura.
Al contrario chi vorrà sfruttare queste vulnerabilità saranno stati sovrani, con intere divisioni di ingegneri informatici, mezzi finanziari praticamente illimitati e obbiettivi chiari. Proprio il caso Vault7 dimostra quanto profondamente e con che facilità un’agenzia governativa possa compromettere i client degli utenti medi.
Blockchain è di moda, lo abbiamo capito. Ma chi vuole utilizzarla per il voto elettronico forse non ha proprio chiaro i principi su cui si basa:
Non voglio farvi il pippone per cui Blockchain non è ideale per il voto elettronico, quindi vi lascio un video di Matteo Flora in cui lo spiega egregiamente e senza peli sulla lingua
Giusto, ma dove sta la differenza?
Attaccare centinaia di migliaia di device, direttamente dai propri uffici in Russia, Ucraina, Bielorussia o Cina, risulta molto più semplice che organizzare una cellula con l’obbiettivo di compromettere fisicamente un numero sufficiente di seggi tale da modificare l’andamento di un’elezione. Oltretutto sarebbe più facile identificare un’eventuale compromissione delle urne fisiche, e quindi invalidare il voto, rispetto a dei dati in un database.
Proprio per questo, gli stati che hanno come obbiettivo interferire con la politica interna di un paese, si impegnano soprattutto nella diffusione di fake news e fatti alternativi nel tentativo di modificare l’esito di un voto, proprio per la difficoltà nel pilotare direttamente un’elezione.
Ma quando gli lasceremo la porta aperta sul nostro meccanismo di voto, cosa succederà?
Chiaramente che vende e promuove questi mezzi insisterà a dirvi che i software hanno 10’000 certificazioni (n.b. sempre lato server), che l’utente può verificare tramite tool esterni le hash javascript (perché la massaia, che condivide gattini su Facebook, certamente metterà le mani nel codice JS) oppure di controllare il certificato SSL, cosa facilmente falsificabile come già dimostrato ampiamente sia dagli exploit dell’NSA sia tramite attacchi Man-in-the-middle.
Bhè, io non mi sentirei tranquillo a dare in mano il futuro della democrazia a chi utilizza password come 1234 o a chi non sa distingue una mail Phishing o di Scam. E voi?
Praticamente ogni plugin WordPress ha bisogno un'area amministrativa, che sia composta da decine di pagine,…
In funnel è un modello che schematizza il percorso che ogni utente intraprende per arrivare…
L'e-commerce ha pervaso il mercato, in questa situazione sempre più spesso ci si imbatte in…
Stai sviluppando il tuo fantastico plugin e hai l'esigenza di salvare delle informazioni in maniera…
La tentazione di usare plugin per ogni cosa è forte, lo so. Per contro, e…
Se anche a voi vi annoiate a scrivere codice HTML non siete gli unici. Apri…