Matteo Flora: “Chiunque avrebbe potuto accedere ai server e alterare il codice. Un attaccante potrebbe conoscere in anticipo i dati del referendum del 22 ottobre”
La prossima domenica i cittadini della Lombardia saranno chiamati a esprimersi su un quesito referendario tutto sommato semplice: vogliono che la Regione si adoperi per chiedere maggiore autonomia amministrativa allo Stato centrale? Un quesito previsto dallo statuto regionale e che punta a far leva sull’articolo 116 della Costituzione Italiana, e che per la prima volta inoltre introdurrà il voto elettronico nel Belpaese: la notizia che arriva alla vigilia è che sono stati individuati in Rete (e rimossi) molti dati relativi al sistema di voto e all’architettura software che sarà impiegata il 22 ottobre.
Come lo feci
La scoperta di un sostanzioso database liberamente accessibile online, parecchi gigabyte complessivamente contenenti una interessante cartella “Italy/RefLombardia2017”, va attribuita a Matteo Flora: l’hacker italiano ha individuato su Internet alcuni server privi di autenticazione di accesso e indicizzati, che gli hanno permesso di scaricare codice relativo alla piattaforma di voto scelta dalla Lombardia per questa consultazione.
Si tratta della piattaforma SmartMatic Election 360 realizzata dall’omonima Smartmatic International Holding B.V.: l’azienda olandese si è aggiudicata l’appalto per la fornitura delle macchine di voto e per la gestione del referendum, una spesa che si aggira sui 23 milioni di euro. Nell’archivio individuato, racconta Flora a StartupItalia!, ci sono manuali di configurazione, codici per l’installazione, binari che potrebbero essere analizzati anche per valutare l’infrastruttura del codice di analisi dei risultati.
Oltre a tutto questo, Flora ha scoperto anche le credenziali di accesso di alcuni sistemi e alcune macchine virtuali pronte all’uso: approfondendo brevemente la questione ha anche potuto accertare che tale approccio si allargava ad altri server o archivi cloud. “Più che un caso isolato – dice Flora a StartupItalia! – si tratta probabilmente di un approccio generale per quanto attiene la gestione della configurazione e della sicurezza di questo fornitore”.
Tutte queste informazioni sono state immediatamente segnalate al CERT-PA.
Le conseguenze del Cloud Leak
I dati di questo tipo non dovrebbero essere in Rete. La segnalazione effettuata da Flora al CERT-PA, l’organo AGID incaricato della gestione di questo tipo di questioni di sicurezza informatica, ha provocato nel giro di 3 ore la sparizione di tutto l’archivio: segno che, una volta presa consapevolezza della questione, tutti i diretti interessati hanno preso i dovuti provvedimenti per arginare la potenziale fuga di dati.
Non è dato sapere, in mancanza di una risposta ufficiale, se le macchine individuate da Flora siano quelle “di produzione” – ovvero quelle che sarebbero dovute servire a gestire materialmente il referendum del 22 ottore in Lombardia – o se invece non si trattasse di unità di test o di demo. Non c’è neppure modo di stabilire se si trattasse esattamente dello stesso software che sarà impiegato la prossima domenica: nel caso in cui lo fosse, chiunque avrebbe potuto scaricare i materiali e studiarli (per giorni, settimane o mesi) alla ricerca di informazioni giudicate preziose.
La buona notizia è che questa scoperta sia stata effettuata prima del referendum: in questo modo si è potuto intervenire prima delle votazioni per mettere in sicurezza la piattaforma, e dunque le conseguenze per ciò che attiene la credibilità della prima votazione elettronica in Italia potrebbero essere decisamente limitate.