La sicurezza informatica in Casaleggio Associati: a quando è aggiornata?

Tra agosto e settembre 2017, il Blog di Beppe Grillo e la piattaforma Rousseau — che il MoVimento 5 Stelle usa per votare il proprio programma e scegliere i propri candidati — hanno subìto gravi e ripetute violazioni di sicurezza, come raccontato in modo preciso da David Puente in questi articoli.

Un utente anonimo ha dimostrato di poter accedere ai dati personali degli iscritti al partito e di poter manipolare le votazioni. Il Garante della Privacy ha aperto un’istruttoria, tutt’ora in corso.

È noto che beppegrillo.it sia gestito da Casaleggio Associati, azienda per cui ho lavorato dal 2007 al 2010, e che la piattaforma Rousseau sia stata inizialmente sviluppata dalla stessa società, che l’ha poi donata all’Associazione Rousseau fondata e presieduta da Davide Casaleggio.

Per capire le cause di questi incidenti può essere utile sapere come venivano gestiti i processi relativi alla sicurezza informatica in Casaleggio, almeno fino al 2010.

Gestione delle password

Le password di accesso a tutti i prodotti e servizi utilizzati venivano conservate in chiaro — cioè non criptate — in un file di testo salvato sul server aziendale, visibile a tutti i dipendenti. Il server si trovava fisicamente negli uffici di Milano ma era potenzialmente accessibile dall’esterno via Internet.

Ci veniva consigliato di non salvare quel file sui nostri computer personali, anche se non c’era il divieto di utilizzarli.

Un tweet di r0gue_0, che ha violato ripetutamente il Blog di Grillo e la piattaforma Rousseau tra agosto e settembre 2017

Aggiornamenti di sicurezza dei software

Per quasi tutti i siti sviluppati dall’azienda — ad esempio il Blog di Grillo, quello di Antonio Di Pietro e di Italia dei Valori — veniva usata la piattaforma di pubblicazione Movable Type. Questo strumento veniva spesso manipolato per aggiungere funzioni non previste nella sua versione originale: per questo motivo, si evitava l’installazione degli aggiornamenti rilasciati dal produttore — anche quelli di sicurezza — , essendo infatti complesso e costoso replicare le stesse modifiche dopo gli aggiornamenti stessi.

Risposta agli incidenti di sicurezza

Nel periodo 2007–2010 ho assistito ad alcune violazioni della sicurezza del blog di Beppe Grillo, in particolare alcuni “defacement” (cioè la modifica di alcune pagine da parte di terzi esterni).

Non ricordo ci fosse una specifica procedura di risposta agli incidenti di sicurezza, se non il fatto che il provider — l’azienda che forniva e amministrava i server — suggeriva sempre la reinstallazione di tutti i sistemi.

Dopo quegli attacchi ci si era affidati ai tecnici del provider per cercarne le cause e si era discusso internamente la possibilità di rintracciare i responsabili. Una vulnerabilità, in particolare, riguardava il modulo di contatto del Blog, che permetteva l’invio di file allegati senza un preventivo controllo di sicurezza. In quel caso, la soluzione individuata dal responsabile aziendale fu quella di cambiare nome ai file con determinate estensioni (.gif, .exe, .php, …) che venivano caricati.

Ovviamente, non so se dopo il 2010 siano state definite procedure e protocolli diversi. Ad oggi, però, il Blog di Beppe Grillo utilizza una versione obsoleta (4.31) di Movable Type, rilasciata il 20 agosto 2009.