Archivi tag: autonomia

La scelta innovativa di Regione Lombardia di optare per il voto elettronico suscita più di qualche perplessità dal punto di vista operativo e tecnologico. Hermes Center, un’associazione di hacker costituitasi come centro studi sulla trasparenza e i diritti umani digitali, ha chiesto al Pirellone la documentazione di Smartmatic (l’azienda a cui è stato appaltato il sistema) per valutare protocolli e sistemi di sicurezza, ricevendo in risposta un due di picche. O meglio, ricevendo la documentazione dell’offerta tecnica “senza le parti secretate in quanto contenenti dati relativi a codici sorgente e informazioni coperte da proprietà intellettuale nonché dati attinenti alla sicurezza”.

La prassi di non rendere pubblico nulla (per non renderlo accessibile e suscettibile di violazioni) potrebbe apparire saggia, ma in questo contesto è opinabile: soprattutto nel mondo digitale, dove la sicurezza assoluta non esiste, è noto quanto sia opportuno e costruttivo portare una tecnologia alla conoscenza e all’attenzione di una platea di esperti che ne possano individuare le vulnerabilità. Ad ogni buon conto, se tutto è segretato, l’idea trasmessa è quella che il sistema debba essere completamente inaccessibile, al punto che da Smartmatic è stato dichiarato che il meccanismo della votazione è a prova di hacker (soprattutto va detto che, durante le operazioni di voto, le voting machine non saranno connesse a Internet).

Tutto a posto, dunque? Speriamo. Nel frattempo Matteo Flora, esperto di sicurezza informatica, ha scoperto che

“svariati gigabyte di software, certificati, istruzioni relative a parti di software del voto, pezzi di codice, macchine virtuali e password, nomi utenti e chiavi di autenticazione di possibili amministratori del sistema” di Smartmatic, l’azienda che si è aggiudicata l’appalto del Pirellone, sono stati accessibili a chiunque in Rete. Flora dichiara di aver effettuato martedì 17 ottobre «una ricerca sulle fonti aperte, ovvero i siti pubblicamente disponibili a chiunque sappia dove e come cercare» e di aver trovato un server contenente istruzioni per scaricare programmi che portavano «ad almeno un altro spazio in cloud, anch’esso privo di protezioni. «Tre ore dopo aver avvisato Cert Pa (l’organizzazione dell’Agenzia per l’Italia Digitale che raccoglie le segnalazioni di possibili vulnerabilità, ndr) non ho riscontrato più alcuna possibilità di accedere agli spazi», prosegue l’esperto presentando prove dello scambio con la struttura di Agid. Fonti del «Corriere» confermano la presenza in chiaro di materiale rilevante. Rilevante, incalza Flora, perché «nel lasso di tempo in cui è stato accessibile (sulla quale durata non ci sono elementi per fare ipotesi, ndr) potrebbe essere stato sfruttato per studiare l’infrastruttura di voto ed individuare eventuali falle o alterare il codice». Non ci sono prove che sia effettivamente successo ed è bene ricordare che domenica i tablet non saranno connessi. (fonte)

Una parte di quelle informazioni secretate nella documentazione trasmessa a Hermes Center sarebbe stata davvero disponibile? Forse sì, alcuni dati del sistema erano accessibili, anche se non è possibile sapere per quanto tempo. Secondo Smartmatic non si tratta di dati sensibili e confidenziali. Ciò nonostante, tre ore dopo la segnalazione inoltrata da Matteo Flora, tutti gli accessi sono stati chiusi. Ora, in un articolo pubblicato dall’agenzia Agi si ipotizza che per le operazioni di voto di domenica possa essere utilizzata una piattaforma software diversa da quella prevista, Election-360.

Se la voting machine sarà quella visibile in foto (e illustrata nella scheda informativa del Referendum), potrebbe trattarsi di un dispositivo simile al modello Smartmatic A4-200. E’ diverso da quello indicato nella Proposta Tecnica di Smartmatic, che però è datata ottobre 2015 e che recita appunto “A causa del rapido evolversi della tecnologia e della disponibilità di nuovi component, le citate configurazioni potrebbero subire delle modifiche nel momento della consegna delle VM. Si garantisce tuttavia che in questo caso le modifiche saranno migliorative”. In realtà potrebbe anche trattarsi di un altro dispositivo ancora. A prova di hacker non deve essere il tablet in se’, ma la piattaforma di raccolta ed esposizione dei risultati.

L’auspicio è che le aperture scoperte da Matteo Flora non abbiano realmente consentito l’accesso a qualcuno in grado di alterare il sistema. Detto questo, ritengo che l’argomento del voto elettronico e la sua sicurezza siano di estrema importanza, indipendentemente dal tipo di iniziativa e dalle parti politiche interessate: se il futuro degli eventi elettorali va in questa direzione, l’affidabilità e attendibilità del sistema è un tema di interesse collettivo. Soprattutto perché, come ho ricordato sopra, nel mondo digitale la sicurezza assoluta non esiste e questo non esclude ovviamente il voto elettronico, per il quale devono essere garantiti anonimato e certezza.