Un hacker ha trovato i codici dei tablet per votare al Referendum della Lombardia

Iniziamo bene.
20 ottobre 2017, 10:30am
Immagine via Regione Lombardia

Domenica 22 Ottobre circa 7,7 milioni di cittadini avranno la possibilità di esprimere la loro sull'autonomia della Lombardia attraverso i 24.400 tablet utilizzati per la votazione. Gli strumenti sono stati acquistati dalla Regione Lombardia e resteranno in comodato d'uso alle scuole che ospiteranno le votazioni. Il costo totale del referendum, tra l'acquisto dei tablet, appalto per la gestione del sistema di votazione all'azienda olandese Smartmatic, assistenti digitali e squadra di pronto di tecnici per l'assistenza agli strumenti e tutto il resto ammonterà a quasi 50 milioni di euro.

In tutto questo, qualcuno si è chiesto quanto fosse sicuro il sistema di voto, dato che non è stato comunicato come funzionino esattamente le 'voting machine', come funziona il software che proteggerà i dati durante il trasferimento a Palazzo Lombardia, chi sono i produttori delle chiavette che conterranno i voti elettronici. Dato che queste informazioni non sono reperibili, l'Hermes Center, un'associazione no profit che si occupa di diritti legati al digitale, ha provato a richiederle tramite FOIA senza ottenere risposta.

Ed è così che l'hacker ed esperto di sicurezza informatica Matteo Flora ha cercato di capirlo da sé con le informazioni che aveva a disposizione, secondo quanto ha raccontato al Corriere della Sera. Flora ha raccontato che, martedì 17 ottobre, ha svolto una ricerca sui siti disponibili pubblicamente trovando un server contenente le istruzioni per scaricare programmi che portavano ad un altro spazio in cloud, sempre privo di protezioni.

Il tutorial del Presidente della Regione Lombardia Roberto Maroni per votare al referendum con i tablet.

Il problema, ha spiegato Flora, è che "svariati gigabyte di software, certificati, istruzioni relative a parti di software del voto, pezzi di codice, macchine virtuali e password, nomi utenti e chiavi di autenticazione di possibili amministratori del sistema" di Smartmatic erano in chiaro. Flora ha segnalato la vulnerabilità all'Agenzia per l'Italia Digitale, Cert Pa, che raccoglie le segnalazioni in questi casi, e tre ore dopo l'accesso non era più possibile visualizzare i dati.

Smartmatic ha dichiarato al Corriere che quelle informazioni non erano sensibili e confidenziali trattandosi di applicazioni che consentono operazioni per il coordinamento della logistica non riconducibili al voto elettronico. Il timore di Flora è che nel periodo di tempo in cui le informazioni sono rimaste accessibili qualcuno possa aver sfruttato quei dati per studiare l'infrastruttura di voto e individuare eventuali falle o alterare il codice.

Domenica, i tablet non saranno connessi, ma resta aperta la questione che il modo migliore per garantire l'inviolabilità di un sistema informatico, contrariamente a quanto è stato fatto in questo caso, è quello di esporre la tecnologia alla comunità scientifica perché verifichi la presenza di falle.

Seguici su Facebook e Twitter