Ma quale attacco acher a Grillo?

M

Sinceramente non capisco (davvero) tutto questo parlare di un [attacco Acher che ha compromesso le elezioni][1] del candidato Presidente della Repubblica del Movimento 5 Stelle.

Ok, succede, lo hanno fatto anche con [Vitrociset][2] e non vedo perché no con Grillo, e abbiamo anche la [parola di Grillo stesso][1] che urla allo scandalo. Ma è lo stesso Grillo che gridava da incompetente sulla BioWashBall, vi ricordo. Non è il suo lavoro fare il consulente informatico lui fa altro. *(cosa esattamente non è dato sapere, ma altro)*.

Ora però mi chiedo perché tutti gridino “All’Acher, all’Acher!”. L’unico documento che abbiamo è quello di DNV. Che NON RIFERISCE minimamente di alcun attacco ma, semplicemente, del fatto che il sistema non ha funzionato come doveva. Nel dettaglio la [comunicazione di DNV][3] dice testualmente:

> “A seguito di uno dei controlli pianificati, relativo all’integrità del sistema è stata rilevata un’anomalia, i cui effetti sono stati verbalizzati”. L’anomalia ha compromesso in modo significativo la corrispondenza tra i voti registrati e l’espressione di voto del votante”.

Se volete qualche dettaglio sul perché non si improvvisa in modalità cinofallica una elezione online vi rimando a quanto egregiamente spiegato in un lungo post da [Keinpfusch][4], ma ci basti sapere che quanto scritto sopra NON significa una compromissione degli Acher. Significa che qualcosa non è andato come doveva e che alcuni dei sistemi creati a controllo e dei test applicativi che erano stati congegnati non hanno funzionato.

Possono non aver funzionato per vari motivi, ad esempio:

* Il database può non aver registrato alcuni dei dati perché era sovraccarico ed era stata male valutata la portata di utenti potenziali, lo stesso motivo per cui il Blog di CasaGrillo è offline un’ora sì ed una no. In questo caso si sarebbe rilevata una anomalia tra i votanti ed i voti e la colpa è dell’Architect che ha male dimensionato;
* Il sistema può non aver controllato il massimo di votazioni che potevano provenire da un determinato IP o da una determinata mail. In questo caso si sarebbe rilevata una anomalia tra i votanti ed i voti e la colpa sarebbe stata dello Sviluppatore;
* Il sistema può non aver correttamente registrato i nomi o le mail dei votanti, magari sostituendo qualche carattere o troncandoli. In questo caso si sarebbe rilevata una anomalia tra i votanti ed i voti e la colpa sarebbe stata dello Sviluppatore;
* Il sistema può non aver correttamente salvato i nomi per un problema nel codice o perché una scarsa o assente validazione dei dati ha comportato una incongruenza di dati. In questo caso si sarebbe rilevata una anomalia tra i votanti ed i voti e la colpa sarebbe stata dello sviluppatore;

Ci sono altri 2.000 scenari molto più probabili di un “attacco Acher”, tra cui quello che qualche idiota non abbia controllato a sufficienza i dati immessi. Succede in qualunque software (anche qui sul blog succedeva prima che divenisse statico), ma non dovrebbe succedere in un prodotto destinato a selezionare il nome del possibile comandante in capo delle Forze Armate del paese. Ovviamente IMHO.

Oltretutto, ricordiamoci, l’unico dato che sembra trapelare è che ci siano stati maggiori voti che non il numero dei votanti. Condizione facilmente attuabile (ad esempio) non avendo ben configurato la lista dei possibili votanti. Semplicemente.

Tante di queste cose si sarebbero potute evitare facilmente, ad esempio rilasciando il codice dell’applicazione come Open Source e dando modo alla comunità di validarne il funzionamento.
Per quanto nutra molte poche simpatie per CasaGrillo, mi sarei anche offerto di sponsorizzare (sono serio) la code review di un prodotto che sarebbe divenuto utilizzabile in tantissimi altri frangenti. Sarebbe inoltre dovuto essere OpenSource vista la crociata sulla trasparenza che proprio CasaGillo ha lanciato anche in campagna elettorale. Ma, come al solito, è facile fare gli allegri con il software degli altri :)

Oltretutto mi sfuggono anche un paio di altre considerazioni, tra cui la recondita motivazione per non utilizzare invece che una nuova mirabolante cinofallica “zip uar en ghenion” una piattaforma consolidata come [LiquidFeedback][5], usata peraltro in mezzo mondo.
Anche perchè, stando a quello che dice il [governo americano][6] fare un sistema di votazione online non è proprio una bazzecola. Se non ci credete date una lettura, ad esempio, a:

* [Computer Technologists’ Statement on Internet Voting](https://www.verifiedvoting.org/projects/internet-voting-statement/)
* [Attacking the Washington, D.C. Internet Voting System](https://jhalderm.com/pub/papers/dcvoting-fc12.pdf) (2012)
* [Security Considerations for Remote Electronic UOCAVA Voting](http://www.nist.gov/itl/vote/upload/NISTIR-7770-feb2011-2.pdf), NIST, (2011)
* [Comment on the May 2007 DoD report on Voting Technologies for UOCAVA Citizens](http://servesecurityreport.org/SERVE_Jr_v5.3.pdf), Aviel Rubin, David Jefferson, Barbara Simons (2007)
* [Independent review final report for the Interim Voting Assistance System (IVAS)](http://www.verifiedvoting.org/wp-content/uploads/2012/10/IVAS_FINAL.pdf) (2006)
* [SERVE voting system security report](http://www.servesecurityreport.org/) (2004)
* [National Science Foundation Internet Voting Report](http://www.verifiedvoting.org/wp-content/uploads/2012/09/NSFInternetVotingReport.pdf) (2001)
* [Elections: Perspectives on Activities and Challenges Across the Nation](http://www.gao.gov/new.items/d023.pdf), GAO (2001)
* [National Commission on Federal Election Reform](http://www.verifiedvoting.org/wp-content/uploads/2012/10/NCFER_2001.pdf) (2001)
* [Voting: What is, what could be, Caltech-MIT Voting Technology Project](http://www.vote.caltech.edu/sites/default/files/voting_what_is_what_could_be.pdf) (2001)

Ma noi abbiamo CasaGrillo, no? E se non funziona il sistemino casalingo? Beh, facile, si perde molto meno la faccia grindando “GOMBLODDO!!!! ACHER!!!! ARRRGGHGHHHHHH!!!” che non dicendo “Non eravamo capaci ed abbiamo fatto un pasticcio”.

Estote parati.

*P.S. A scanso di equivoci, ci scrive Hacker. Ma in questo caso sarebbero Cracker. Se vogliamo essere spiritosi, carini e coccolosi usiamo pure Acher o Acari =)*

[1]: http://www.beppegrillo.it/2013/04/presidente_dell.html
[2]: http://mgpf.it/2011/08/03/vitrociset-sfondata-di-nuovo.html
[3]: http://www.leggo.it/news/politica/grillo_annulla_le_quirinarie_attacco_hacker_sul_blog_rivotiamo_oggi_foto/notizie/222889.shtml
[4]: http://www.keinpfusch.net/2013/04/gli-attacchi-hacker-di-grillo.html
[5]: http://liquidfeedback.org/
[6]: https://www.verifiedvoting.org/resources/internet-voting/

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.