La non-password di Casaleggio su Rousseau dice molto sulla competenza del M5s

Luciano Capone

Il caso Rogue0 conferma quanto diceva il Garante: il sistema ha più buchi di uno scolapasta

Roma. “Dopo un’indagine accelerata siamo riusciti a trovare i mandanti di questa infida operazione di spy-hacking massonico messa in piedi da un’organizzazione criminale dotata di fondi inesauribili. Ecco i mandanti:” e seguono il numero di telefono e tutti gli altri dati – codice fiscale, patente, e-mail e password – del “boss” Davide Casaleggio. Il comunicato viene pubblicato proprio dall’account di Davide Casaleggio (“Federico Birks”, il suo secondo nome e il cognome della madre), di cui è entrato in possesso dell’hacker “cattivo” Rogue0. La beffa arriva proprio il giorno successivo all’individuazione da parte della polizia postale dell’hacker “buono” che aveva penetrato Rousseau, Evariste Galois, e in risposta all’esultanza di Luigi Di Maio e al commento di Davide Casaleggio: “Chi ha voluto colpire Rousseau lo ha fatto a fini politici. E’ stato fermato l’esecutore materiale ma ora spero vengano individuati al più presto anche i mandanti e gli eventuali finanziatori delle operazioni criminali contro Rousseau, il M5s, e i suoi iscritti”, aveva scritto sul blog delle stelle.

 

Quando l’hacker Rogue0 scrive che il mandante dell’operazione di spionaggio informatico è Casaleggio ironizza sull’inadeguatezza dei sistemi della cosiddetta “piattaforma Rousseau” e sull’impreparazione dei tecnici che dovrebbero garantirne la sicurezza. E in effetti fa abbastanza sorridere che il capo assoluto di Rousseau, considerato un esperto della rete, avesse scelto come password “davidavi” (siamo al livello di chi mette la propria data di nascita). Certo, è capitato anche a uno come Mark Zuckerberg di aver scelto per alcuni suoi profili social hackerati una password semplice come “dadada”, ma se il suo Facebook venisse bucato con la facilità con cui accade per Rousseau, avrebbe cambiato mestiere già da un pezzo.

 

Ci sono due aspetti interessanti in questa battaglia informatica. Il primo è che Casaleggio e il suo team di esperti non sembrano aver chiaro il quadro della situazione. Dai toni dei commenti dopo l’individuazione del primo hacker, pare che fossero convinti di aver beccato quello “cattivo” che mette a rischio i dati degli iscritti. E invece l’hacker Galois è uno studente di matematica veneto che aveva fatto un’intrusione “etica” nei sistemi del M5s, per segnalare ai gestori della piattaforma che il sistema era vulnerabile: “Riteniamo che Evariste Galois abbia agito in maniera etica e responsabile, limitandosi a segnalare ai gestori del sito le gravi falle di sicurezza che irresponsabilmente hanno trascurato – si legge in un appello della comunità hacker italiana – Sottolineiamo come il comportamento del M5s sia assolutamente irresponsabile e persecutorio, poiché anziché ringraziare pubblicamente l’hacker etico per il suo contributo (come fanno grandi aziende come Facebook e Google quando gli vengono segnalati problemi di sicurezza), lo hanno denunciato legalmente”. L’equivoco lo ha spiegato proprio l’hacker cattivo contattato dall’Agi: “Sono convinti di aver preso l’esecutore materiale. Con tutta questa incompetenza, che non so come definire, è meglio che stiano fuori dalla rete”. Ora, evidentemente, si sono resi conto che aver beccato l’hacker buono non è servito a niente, soprattutto se il sistema ha più buchi di uno scolapasta. E questo conduce all’altro aspetto rilevante della vicenda.

 

A dicembre, in seguito a un’indagine, Casaleggio e l’Associazione Rousseau sono stati raggiunti da un provvedimento del Garante della privacy che segnalava tutte le carenze e le violazioni del sistema e indicava una serie di prescrizioni e accorgimenti per garantire la sicurezza informatica ai dati degli iscritti. Davide Casaleggio in una recente intervista ha dichiarato che Rousseau ha speso centinaia di migliaia di euro per lo sviluppo e la sicurezza dei suoi sistemi informatici e di aver “accolto tutti i suggerimenti del Garante”. Ma l’attacco hacker e la facilità con cui è avvenuto sembrano dimostrare proprio il contrario: una delle prescrizioni necessarie stabilite dal Garante era proprio quella di modificare il sistema di autenticazione in modo che “le password relative alle utenze degli iscritti ai siti online del Movimento siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password ‘deboli’”. E’ passato più di un mese da quel provvedimento e se la password di Casaleggio è “davidavi” evidentemente non è stato fatto nulla.