Recentemente a seguito di una più crescente digitalizzazione si discute sempre più spesso di poter effettuare una votazione elettorale in maniera elettronica, alcuni stati probabilmente più tecnologicamente avanzati dell’Italia hanno già messo in pratica questo sistema elettorale ma sono già tornati sui loro passi preferendo l’amata matita. Per dovere di cronaca anche in Italia è stato fatto un goffo tentativo in Lombardia, ma era un referendum non ufficiale e i risvolti sono stati catastrofici sotto ogni punto di vista; ma qui voglio fare un discorso generico e scrivere la mia opinione personale.

Blockchain

Il voto digitale si associa spesso a questa avveniristica Blockchain (letteralmente catena di blocchi), ovvero un database distribuito resistente a manomissioni che mantiene in modo continuo una lista crescente di registri, i quali fanno riferimento a informazioni precedenti. Conosciamo la Blockchain grazie alla sua implementazione decentralizzata nei Bitcoin da parte di Satoshi Nakamoto, anche se realmente è un progetto che nasce negli anni ’90 nella crittografia.

La Blockchain deve essere implementata all’interno di un più vasto progetto, e ogni errore presente nel progetto può generare una vulnerabilità nell’intera infrastruttura. Lo scorso 20 Settembre un grave errore sul progetto Bitcoin è stato rilevato, il terzo con livello di gravità massima, dal 2010 ad oggi. Questo errore poteva bloccare irrimediabilmente l’intera infrastruttura. No, non sarebbe bastato un banale riavvio come oggi siamo abituati a fare sui nostri PC o Smartphone; fortunatamente la patch è arrivata prima della divulgazione della vulnerabilità e nessun attaccante ha potuto sfruttarla.

Ho volutamente riportato questo recente fatto per poter fare un paragone nel mondo reale, potete avere la miglior macchina del campionato automobilistico con l’ultimo ritrovato tecnologico in ambito di catena di distribuzione ma questo non vi garantirà di vincere il campionato mondiale. Vi sono tantissimi altri fattori importanti per poter competere nella leadership! L’aerodinamica, le gomme, ecc ecc senza dimenticare la fonte principale di errori…l’essere umano! Vero Vettel?! 🙂

Ribadisco spesso che il progetto della Blockchain è fantastico ma non dobbiamo pensare che sia una soluzione magica da applicare a qualsiasi progetto, non è sempre detto che essa sia la soluzione migliore. Un ottimo libro che vi permetterà di approfondire questi aspetti è “Hacking finance. La rivoluzione del bitcoin e della blockchain” di Francesco De Collibus e Raffaele Mauro!

La Blockchain è un bellissimo e valido progetto ma va implementata all’interno di un più vasto progetto, esso può introdurre vulnerabilità o errori.

Voto Digitale

Il voto digitale è indubbiamente affascinate, mi sono sempre chiesto cosa offre in più rispetto alla classica carta e matita che usiamo da tantissimi anni. Meno spreco di carta? Ni, sicuramente risparmieremo carta ma andremo a consumare più energia elettrica e a sfruttare altre materie prime per la produzione dei componenti elettronici. Spoglio più veloce? Ni, probabilmente è questo il motivo per cui si spinge verso l’implementazione digitale del voto ma non è assolutamente detto che lo spoglio sia più veloce! Vi basta ricordare che il referendum digitale della Lombardia ha avuto lo spoglio più lungo degli ultimi anni…10 giorni! :O :O

Il voto digitale è sicuro e fa figo!!!!!

No, i punti esclamativi non sono un errore. Il voto digitale ad oggi NON è sicuro! Per poter votare elettronicamente sono necessari dei dispositivi, detti Voting Machine, tutti identici che vengono distribuiti in tutti i seggi elettorali. Ad oggi non conosciamo alcun progetto elettronico privo di vulnerabilità, NESSUNO! Anche il recente aggiornamento degli iPhone, prodotto considerato tra i più sicuri al mondo, contiene un exploit scoperto dopo soli due giorni dal rilascio!

Avremo quindi decine di migliaia di scatole identiche potenzialmente vulnerabili a garanzia delle votazione elettorali di noi Italiani, distribuite in tutta Italia! Per compromettere la votazione di TUTTI i seggi basterà UNA vulnerabilità.

Immaginate di aver 50mila automobili prodotte da una nota casa produttrice in circolazione, tutte le auto prodotte vengono richiamate per un errore di produzione al sistema frenate che in una determinata condizione non applica la forza corretta sulle pinze allungando notevolmente i tempi di arresto. Finché le auto non verranno riparate avrete 50mila dispositivi insicuri in circolazione! Vi piace come paragone?

Per compromettere il voto digitale basterà UNA vulnerabilità che può essere usata su TUTTE le Voting Machine in maniera seriale/automatica.

Il voto cartaceo soffre di questa problematica? Esiste un metodo per compromettere il voto di TUTTI i seggi? No, la corruzione dell’essere umano può essere una vulnerabilità ma non esiste una organizzazione criminale che possa corrompere tutte le persone coinvolte in tutti i seggi Italiani. Chi riuscirebbe a corrompere decine di migliaia di persone con ideologie differenti?!

Capite la differenza? Con il voto elettronico basta trovare una vulnerabilità che diventa distribuibile a macchia d’olio in TUTTI i seggi, al contrario è impensabile corrompere tutti i seggi elettorali con l’attuale sistema.

Esiste quindi un sistema che ci permetta di velocizzare gli spogli?

Sì, è un sistema ibrido in cui l’elettore voterà digitalmente e la Voting Machine stamperà una scheda elettorale cartacea con la preferenza dell’utente. La scheda cartacea dovrà essere inserita nell’urna e seguirà la tradizionale procedura di spoglio mentre il voto digitale sarà digitalmente disponibile alla chiusura delle urne.

Ma è un sistema che ovviamente innalza i costi complessivi, oltre al personale tradizionale dovremo aggiungere dei tecnici debiti all’assistenza delle Voting Machine e i costi di produzione e sviluppo di esse. Ha senso? Per me no, si farebbe un doppio lavoro quando basta aspettare 10/12 ore per avere dei risultati certi e validi…un attesa decisamente accettabile se confrontata alla durata delle legislatura del governo!

 

Concludo ricordandovi che queste sono mie personali riflessioni, non ho mai pubblicato alcuna ricerca scientifica su tale argomento, ma sono frutto di letture di libri e pubblicazioni scientifiche. I commenti di questo blog ci serviranno per confrontarci 😉

Una grande carenza che personalmente ho da sempre notato sulla PostePay é l’impossibilità di avere una notifica degli addebiti o accrediti che vengono eseguiti sulla carta prepagata più usata in Italia. In famiglia abbiamo, per semplicità, una sola carta Postepay condivisa poiché l’utilizzo é veramente saltuario e così per comprendere meglio i movimenti ho deciso di realizzare uno script che mi avvisasse di nuovi movimenti e del saldo.

Lo script é OpenSource e pubblicato su GitHub per permettere a tutti di sfruttarlo, modificarlo e migliorarlo. Attualmente é implementata la notifica tramite eMail, ma é certamente possibile integrare una notifica tramite notifica Push (es. con Pushover).

É un software scritto in Python3 di semplice implementazione, consiglio di automatizzare (con un crontab) la sua esecuzione ogni X minuti così da renderlo totalmente autonomo una volta configurato.

In copertina trovate l’eMail, molto essenziale, che vi arriverà qualora venisse rilevato un movimento. Per tutta la procedura di configurazione vi rimando a GitHub dove trovare un esaustivo README!

La memoria umana è breve, per questo ho deciso di scrivere questo diario che riepiloga gli attacchi informatici subiti dal partito Italiano M5S. Ho scelto di creare questa scaletta sul Movimento 5 Stelle perché ad oggi sono il soggetto politico che ha subito un maggior numero di attacchi e inoltre si sono sempre definiti un partito del web; per cui ritengo opportuno analizzare e tenere traccia di queste informazioni.

  • 11 Aprile 2013: Il referendum online dedicato agli iscritti del partito per esprimere la propria preferenze sul futuro Presidente del Consiglio è stato sospeso, Beppe Grillo ammetterà che “sono state oggetto di attacco di hacker” anche se non verranno mai fornite prove tangibili. Fonte1Fonte2
  • 24 Aprile 2013: Un gruppo che si definisce “Gli Hacker del PD” pubblica le eMail della deputata stellata Giulia Sarti. Fonte1Fonte2
  • 28 Giugno 2013: AntiSecITA effettua un deface del sito web di Casaleggio. Fonte1Fonte2
  • 26 Febbraio 2014: L’account Twitter della Casaleggio Associati è stato compromesso, la password in uso era la via della sede legale della società. Fonte1Fonte2
  • 31 Luglio 2017: @evaristegal0is avvisa lo staff del Movimento 5 Stelle che il loro portale per le votazioni online (Rousseau) ha diverse vulnerabilità, tra cui una SQL Injection che permette la lettura del database delle votazioni e relativi dati degli utenti. Fonte1Fonte2
  • 2 Agosto 2017: A seguito della risoluzione dei problemi di sicurezza che affliggevano il portale Rousseau Evariste pubblica una Responsible Disclosure indicando quali dati venivano esposti. Fonte1Fonte2
  • 3 Agosto 2017: r0gue_0 si mostra su Twitter ed inizia la pubblicazione di una parte del database del Movimento 5 Stelle, non solo di Rousseau ma anche dei siti collegati. Fonte1Fonte2
  • 4 Agosto 2017: r0gue_0 continua a pubblicare dati personali provenienti dal database del Movimento 5 Stelle. Fonte1
  • 5 Agosto 2017: r0gue_0 continua a pubblicare dati e mette in vendita il database per 0,3 BTC. Fonte1Fonte2Fonte3Fonte4Fonte5Fonte6
  • 8 Agosto 2017: r0gue_0 continua a pubblicare dati. Fonte1Fonte2
  • 23 Settembre 2017: Il blog beppegrillo.it viene compromesso e viene pubblicato un articolo da r0gue_0 attraverso l’account di Davide Corona. Fonte1Fonte2
  • 23 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Giancarlo Cancelleri. Fonte1
  • 23 Settembre 2017: r0gue_0 pubblica un nuovo articolo a nome di Massimo Ferrari. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Mario Bucchich. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Pietro Dettori. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Massimo Bugani. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Marco Maiocchi. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Gianroberto Casaleggio. Fonte1
  • 7 Febbraio 2018: r0gue_0 pubblica un nuovo articolo sul blog movimento5stelle.it tramite l’account di Davide Casaleggio pubblicando i dati personali di Casaleggio (Cellulare, Codice Fiscale, Numero e Scadenza Patente di Guida). Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un log di accesso al database del Movimento con privilegi SUPER (ovvero di un amministratore). Fonte1
  • 5 Settembre 2018: r0gue_0 pubblica le tabelle del database web05db01. Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un estratto delle donazioni ricevute dal Movimento a Luglio 2018, donazioni confermate dalle persone coinvolte. Fonte1Fonte2
  • 6 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Toninelli Danilo, Bonafede Alfonso, Luigi di Maio. Fonte1
  • 7 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Virginia Raggi e Paola Taverna. Fonte1Fonte2
  • 8 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Davide Casaleggio e Luca Eleuteri. Fonte1
  • 8 Settembre 2018: r0gue_0 pubblica la tabella dei log delle votazioni online avvenute. Fonte1
  • 13 Settembre 2018: r0gue_0 pubblica eMail, Password e numero di Cellulare di Alessandro di Battista. Fonte1

 

Articolo aggiornato il 26 Settembre alle 14:40 UTC.

Feedbin

È passato un anno da quando il 5 Settembre 2017 ho fatto un sondaggio su Twitter per capire quanti miei follower usassero ancora i Feed RSS, onestamente sono rimasto sorpreso dei risultati. 41 persone su 65 non usano più i Feed RSS, probabilmente si affidano completamente ai Social Network o visitano direttamente i siti web.

Personalmente amo ancora tantissimo di Feed RSS per alcuni fondamentali motivi:

  • Scelgo io le fonti;
  • Posso effettuare comode ricerche;
  • Posso leggere i Feed quando preferisco e non rischio di perdere informazioni utili;
  • Non fornisco a terzi, che guadagnando con inserzioni pubblicitari, i miei interessi.

Ho sempre usato la piattaforma Self-Hosted Feed a Fever, ma putroppo dal 2014 non viene più aggiornato, così nell’estate del 2017 ho testato diverse soluzioni e oramai da un anno ho completamente abbracciato Feedbin.

Ho deciso di passare a Feedbin poichè ha alcune caratteristiche che mi hanno veramente convinto, partendo inanzitutto dall’interfaccia che la trovo veramente semplice e pulita perfetta per una piattaforma che deve aiutare l’utente nella lettura degli articoli; oltre ad essere perfettamente compatibile con gli smartphone. Permette inoltre il caricamento integrale degli articoli che vengono volutamente troncati nel Feed, così da non dover caricare il sito web originale. Permette di monitorare Twitter, è infatti possibile indicare un utente da seguire, un hashtag o una ricerca, i risultati verranno mostrati come se fosse un articolo normale. Medesima situazione per YouTube dove potete seguire i vostri canali preferiti, sfruttando perfino la versione “nocookie” della nota piattaforma di streaming elimando ogni tracciabilità. È inoltre possibile convertire le Newsletter che ricevete via eMail in un Feed, infatti Feedvin vi fornisce un indirzzo eMail, iscrivendovi con esso ai siti web che preferite le email vi arriveranno direttamente nel portale. Supporta inoltre i Podcast, così potete anche loro raggrupparli e ascoltari direttamente dall’interfaccia web. Infine, per me caratteristica fondamentale che Fever non aveva, è la Ricerca non solo nei titoli ma anche nei testi degli articoli. Feedbin dichiara di conservare gli ultimi 500 articoli per ogni fonte, una base dati certamente molto ampia. Ovviamente gli articoli possono essere condivisi tramite eMail, Social o salvati nei preferiti. Ogni Feed può essere invece suddiviso in diverse categorie che semplificano l’organizzazione della vostra piattaforma.

Feedbin non è gratuito, costa 5 dollari al mese, con una prova gratuita di 30giorni se sfruttate la loro piattaforma di Hosting. Ma è un software OpenSource, potete quindi ricreavi l’ambiete in un host vostro in maniera totalmente gratuita.

Lunga vita a Feed! 😃