Quanto è sicuro il sistema di voto elettronico della Posta? La parola a un hacker
La Posta ha sempre ribadito che intende fornire ai Cantoni un sistema di voto elettronico sicuro. Ora vogliamo quindi sapere fino a che punto questa soluzione è davvero a prova di pericoli. Per celebrare l’inizio del test pubblico di intrusione, attualmente in corso, abbiamo incontrato un hacker etico. Da anni ormai la Posta invita gli hacker a testare i suoi sistemi informatici al fine di rilevare eventuali punti deboli in materia di sicurezza, offrendo agli esperti un compenso per ogni falla identificata. La stessa idea viene ora applicata al sistema di voto elettronico con un test pubblico di intrusione, attualmente in pieno svolgimento.
Ruben Santamarta ha 40 anni, vive in Spagna ed è appassionato di hackeraggio e sicurezza delle informazioni dall’età di 15 anni. Ufficialmente lavora come «ricercatore nell’ambito della sicurezza».
Nell’ambito di questo progetto della durata di quattro settimane, hacker etici cercano di attaccare l’infrastruttura alla base del futuro sistema di voto elettronico della Posta. Per la prima volta queste figure simulano così in modo accurato il processo di voto sull’apposito portale mediante il facsimile di un certificato elettorale. L’obiettivo è individuare eventuali vulnerabilità ed eliminarle in tempo utile. La Posta premierà le falle identificate e confermate nel quadro del test di intrusione con un compenso fino a 30’000 franchi. Si tratta di una possibilità di test alternativa, dato che esperti indipendenti da ogni angolo del mondo mettono alla prova il futuro sistema di voto elettronico della Posta ormai da inizio 2021. In quest’ottica, l’azienda versa addirittura ricompense fino a un totale di 250’000 franchi.
Abbiamo dunque colto l’occasione per fare due chiacchiere con un hacker etico. Ruben Santamarta, 40 anni e attivo nel settore della sicurezza delle informazioni da circa un ventennio, ci ha illustrato in cosa consiste il suo lavoro. Cresciuto in Spagna, l’esperto di cyber security ha lavorato per diverse aziende di tutto il mondo.
Ruben Santamarta, il test pubblico di intrusione è attualmente in corso. Ecco perché vorremmo iniziare con la seguente domanda: dal punto di vista di un hacker, quanto è facile hackerare il sistema?
Non è per niente facile. Un malintenzionato che cercasse di compromettere del tutto il sistema di voto elettronico della Posta in modo da poter alterare i risultati del processo elettorale avrebbe sicuramente bisogno di parecchie risorse anche solo per provarci.
Parliamo dell’attività di hackeraggio. Sei un cosiddetto hacker etico: puoi spiegarci cosa significa esattamente e qual è la differenza rispetto a un hacker non etico?
Da un punto di vista tecnico, tra un hacker etico e un hacker non etico non c’è una grande differenza. Entrambi, infatti, usano le stesse procedure e gli stessi metodi. L’obiettivo degli hacker è estrapolare informazioni a cui normalmente non dovrebbero avere accesso. La differenza sta nell’uso che se ne fa: un hacker etico le condivide con chi di dovere per migliorare un sistema e aiutare le aziende, mentre gli hacker non etici usano le informazioni ottenute per arrecare danno.
Essere un «hacker di professione» è piuttosto insolito; cosa ti ha spinto a dedicarti a questa attività?
Sono appassionato di computer e sicurezza informatica fin da quando ero adolescente. All’età di 15 anni, nel tempo libero ho iniziato a studiare i sistemi di programmazione, le basi dell’hackeraggio e la cyber security. Mi è sempre piaciuto capire come funzionassero le cose e ogni volta che rilevavo delle vulnerabilità che nessuno prima di me aveva notato provavo sempre una certa euforia, che mi spingeva a proseguire. E oggi è ancora così. Inoltre per me è una grande soddisfazione pensare che un’azienda possa migliorare i propri sistemi grazie al mio lavoro.
Terminata la scuola superiore ho iniziato a lavorare come programmatore, un’occupazione che non aveva molto a che fare con la sicurezza informatica, ma che mi ha permesso di sviluppare notevolmente le mie capacità. Intorno ai 20 anni sono poi stato assunto da un’azienda specializzata in antivirus. Dal 2006 lavoro come ricercatore indipendente nel settore della cyber security e in questi anni ho già collaborato con diverse organizzazioni e aziende a livello internazionale.
Immaginare la quotidianità di un hacker non è semplice: potresti descrivere la tua giornata di lavoro tipo?
Diciamo che non ho una vera e propria routine lavorativa. Essendo un ricercatore indipendente lavoro quando voglio. Ci sono giorni, e anche notti, in cui sono completamente concentrato su un progetto e non riesco a dedicarmi ad altro. Altri giorni invece faccio solo delle ricerche o do un’occhiata a qualche studio.
Qual è la prima cosa che fai quando lavori a un nuovo progetto?
Solitamente inizio raccogliendo quante più informazioni possibili. Consulto studi in materia, documenti tecnici, video e così via. Questo mi aiuta ad avere una visione d’insieme del sistema che voglio prendere in esame. Una volta terminate le ricerche, inizio ad analizzare il codice. Cerco di capire come funziona e finché non è tutto chiaro non compio nessuna azione, come tentare di attaccare il sistema o di scovare eventuali punti deboli. Il mio lavoro è simile a quello di un detective. Il primo passo è indagare su ogni dettaglio, raccogliendo prove e cercando di ricostruire cosa sta succedendo. E solo allora si passa all’azione.
Cosa ti spinge, nello specifico, a cercare di hackerare i sistemi di un’azienda come la Posta?
Ho iniziato a collaborare con la Posta per via del suo sistema di voto elettronico. Sistemi come questo rivestono una grande importanza per molte persone. Grazie al sistema di voto elettronico, la Posta contribuisce infatti a semplificare i processi elettorali democratici della Svizzera. Ed è proprio questo che mi ha convinto a prendervi parte. In questo caso specifico, oltre al desidero di capire come funziona il sistema, a motivarmi è anche il fatto che si tratti di un progetto importante con un certo impatto. Il processo elettorale online dipende dalla sicurezza del sistema stesso, per questo prendere parte al progetto mi è parso davvero interessante.
Noti delle differenze rispetto ad altri progetti su cui hai lavorato?
Sì, l’approccio della Posta è diverso da quello di altri progetti a cui ho preso parte finora. Per prima cosa l’intero processo è estremamente trasparente: gli hacker etici hanno accesso a tutto, a documenti di ogni tipo e a tutte le informazioni interne. E in caso di domande la Posta è sempre pronta ad aiutare. È un progetto che si distingue dagli altri perché di solito non si ha accesso a così tante informazioni. Questa trasparenza lo rende diverso rispetto ai progetti a cui ho partecipato in passato. La seconda differenza è che la Posta offre ricompense più alte e, sebbene non sia la ragione principale che spinga ad hackerare un sistema, sicuramente è un punto a favore.
In tutta sincerità, dal punto di vista di un hacker, quanto è sicuro il sistema di voto elettronico della Posta?
Credo che rispetto alla prima versione pubblicata nel 2019 il sistema sia notevolmente migliorato. Ormai è da un po’ che lo analizzo e posso dire che, secondo me, il livello di sicurezza è abbastanza buono. Ovviamente ci sono ancora aspetti da perfezionare. Nel programma bug bounty sono stati ad esempio segnalati dei punti deboli che ora bisogna eliminare, inoltre la Posta sta continuando ad aggiungere funzionalità. Ciò significa che il processo non è ancora finito. In generale, però, devo dire che gli aspetti inerenti alla sicurezza del sistema mi hanno convinto.
Link al portale di voto elettronico con tutti i blog specializzati sul voto online
Categoria:
