Rousseau: le raccomandazioni del Garante per la privacy sono state accolte?

Dal 23 gennaio 2018 il mio blog non ha più banner pubblicitari e viene sostenuto dalle vostre donazioni che potete inviare qui: https://www.paypal.me/DavidPuenteit

In seguito alla diffusione del provvedimento del Garante per il trattamento della Privacy è stata riportata il 3 gennaio 2018 alle 10:38 da AGI una dichiarazione da parte dell’Associazione Rousseau:

“In seguito all’attacco hacker dello scorso mese di agosto sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un’indagine sugli autori degli attacchi. A tal riguardo le richieste e le raccomandazioni del garante per la privacy sono già state accolte. Ringraziamo il garante e la polizia postale per la collaborazione”. Cosi’ l’associazione Rousseau in una nota.

Troviamo le raccomandazioni del Garante al punto 7  “Le valutazioni dell’Autorità in ordine ai profili di sicurezza informatica: misure e accorgimenti necessari” del provvedimento di cui riporto l’introduzione seguita dai casi specifici successivi:

Sulla base delle criticità tecniche accertate, si ritiene necessario prescrivere, nei confronti dei titolari del trattamento dei diversi siti web riferibili al Movimento 5 Stelle, le seguenti misure necessarie, come di seguito descritte.

I capitoli di questo articolo sono:

  • Il livello costante di protezione dei dati e le misure di sicurezza periodicamente rinnovate
  • La debolezza delle password
  • Algoritmi crittografici robusti
  • Il protocollo HTTPS per l’accesso a Movimento5stelle.it
  • Il CMS obsoleto e il rischio di attacchi
  • I responsabili del trattamento non in chiaro e a richiesta.

Il livello costante di protezione dei dati e le misure di sicurezza periodicamente rinnovate

A. I futuri sviluppi della piattaforma Rousseau e degli altri strumenti on-line del Movimento dovranno sempre essere validati sul piano della sicurezza informatica da adeguate azioni di vulnerability assessment attuate precedentemente alla messa in esercizio, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico. Le verifiche sulla tenuta delle misure di sicurezza dovranno essere periodicamente rinnovate, al fine di garantire un livello costante nel tempo di protezione dei dati personali.

Risulta evidente che il Garante abbia richiesto interventi atti a garantire la sicurezza informatica dei siti, soprattutto in seguito alle vulnerabilità riscontrate e riportate nel provvedimento stesso. Cito qualche carenza riscontrata nel documento:

  • indiscutibile obsolescenza tecnica del CMS usato;
  • la gestione delle password inferiori a otto caratteri;
  • un controllo di qualità per impedire l’uso di password “deboli“;
  • mancanza di algoritmi crittografici robusti per le password;
  • mancata adozione del protocollo HTTPS.

La debolezza delle password

Leggiamo il punto B in merito alle password:

B. Con riferimento al sistema di autenticazione informatica degli utenti, lo stesso dovrà essere modificato in modo che le password relative alle utenze degli iscritti ai siti on-line del Movimento siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli” costituite, ad esempio, da parole reperibili in dizionari o comunque facilmente individuabili. Contestualmente devono essere introdotte strette limitazioni al numero di tentativi di accesso online con password erronea, per impedire attacchi brute force interattivi.

Attualmente dal sito “Blogdellestelle.it” non è possibile effettuare una registrazione, bisogna farlo usando il modulo attivo nel sito “Beppegrillo.it“. Iscrivendo l’utente “Walter Zenga” con l’email “garantebeppe@gmail.com” ho impostato come password la parola “dizionario” concludendo con esito la registrazione. Non si riscontra un controllo automatico di qualità ed è permesso creare password deboli.

Inoltre, nel caso non inserisca la password completa, ma “dizionar” con 8 caratteri anziché “dizionario“, riesco comunque ad accedere. Nel caso volessi recuperare gli accessi, sappiate che il recupero password non funziona e vi invia un’email con il campo relativo al quella corretta rimane vuoto, non risulta possibile per l’utente recuperare alcunché.

Questo test lo potete fare anche voi creandovi un’email su Gmail e seguendo passo per passo l’iscrizione.

Algoritmi crittografici robusti

D. Con riferimento al database delle utenze del sito del Movimento della piattaforma Rousseau, tenuto conto delle segnalazioni ricevute – che hanno trovato conferma anche nell’analisi del CMS Movable Type v4.31 il cui codice sorgente è risultato liberamente disponibile -, si ritiene necessario prescrivere che le modalità di conservazione delle password degli utenti siano rafforzate adoperando algoritmi crittografici robusti in luogo delle semplici routine di cifratura accessibili tramite le funzioni native del CMS medesimo.

Non risulta possibile legalmente verificare un eventuale esito di tale operazione senza avere gli accessi al loro database. Inoltre, nel caso volessi modificare la password non mi è possibile perché dovrei accettare l’iscrizione alla nuova associazione.

Il protocollo HTTPS per l’accesso a Movimento5stelle.it

C. Con riferimento ai protocolli di rete, si ritiene necessario prescrivere l’adozione del protocollo https (secure hyper text transport protocol) per l’accesso a tutti i contenuti del sito www.movimento5stelle.it, basato su un certificato digitale emesso da una Certification Authority riconosciuta, dal momento che alla data odierna emerge solo una parziale adozione di questa misura di sicurezza. Infatti, sebbene l’accesso alla home page del sito avvenga tramite il protocollo https, alcuni contenuti sono ancora erogati su protocollo insicuro. Inoltre, nonostante il form di iscrizione sia accessibile tramite https, lo stesso risulta tuttora raggiungibile anche nella modalità insicura.

Il protocollo HTTPS non risulta adottato per il sito “Movimento5stelle.it“, neppure accedendovi con l’url contenente all’inizio “https” anziché “http“. Accesso al sito e l’area login risultano privi del protocollo.

 

Il CMS obsoleto e il rischio di attacchi

Il Garante aveva sottolineato il problema relativo all’utilizzo dei CMS (“sistemi di gestione dei contenuti“) e dell’indiscutibile obsolescenza tecnica che ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati in seguito alle intrusioni informatiche:

a) il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.

[…]

Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online;

In parole povere, nonostante le informazioni in merito falle di sicurezza rese pubbliche da Evariste (altre molti anni fa) il Garante conferma che non ci siano state risposte adeguate da parte dell’Associazione per garantire la sicurezza dei siti, come accaduto nel più recente attacco da parte di R0gue_0 durante le votazioni del candidato Premier (riuscendo a superare anche l’autenticazione via SMS).

Il CMS che attualmente è utilizzato per la gestione del sito Movimento5stelle.it continua ad essere lo stesso di questa estate nella versione 4.31-en (“il cui codice sorgente è risultato liberamente disponibile“, come ben ricorda il Garante nel provvedimento):

Ci sono altre falle di sicurezza non ancora individuate? Dubito che ci siano state altre segnalazioni dopo il trattamento subito da Evariste (l’hacker buono) nell’estate 2017, ma se ci sono state spero vivamente che le abbiano risolte. Il rischio è che alle prossime votazioni possano farsi avanti personaggi come R0gue_0, visto il suo atteggiamento nei confronti degli sviluppatori e gestori dei siti in questione.

Sicurezza a parte, le prossime risposte che dovranno essere date riguarda una ricerca recentemente svolta e pubblicata sul sito Italian.tracking.exposed. Le carenze, a quanto sembra, non sono ancora finite.

I responsabili del trattamento non in chiaro e a richiesta

Una situazione sulla quale il Garante valuterà eventuali sanzioni riguarda la mancata designazione delle società esterne Wind e ITNET come responsabili del trattamento dei dati personali:

Nel testo dell’informativa, infatti, mentre da un lato si indica l’Associazione Rousseau quale responsabile del trattamento ai sensi dell’art. 29 del Codice (designata con atto datato 25 aprile 2016 e allegato al verbale dell’accertamento ispettivo del 5 ottobre 2017), dall’altro, non è fatta menzione delle società Wind Tre S.p.A. e ITNET s.r.l. cui i dati personali degli utenti vengono comunicati, ed è anzi riportato che “i dati non verranno diffusi né comunicati a terzi” (cfr. par. 3).

Pertanto, risultando la predetta informativa parzialmente inidonea rispetto al dettato normativo di cui all’art. 13, comma 1, lett. d) del Codice, l’Autorità si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l’eventuale contestazione della sanzione amministrativa di cui all’art. 161 del Codice.

[…]

5) dichiara, nei confronti dei titolari del trattamento di tutti i siti riconducibili al Movimento 5 Stelle, l’illiceità del trattamento dei dati personali degli utenti in ragione della comunicazione a soggetti terzi (Wind Tre S.p.A. e ITNET s.r.l.) dei dati medesimi in mancanza di idoneo presupposto;

Nella nuova informativa che gli attivisti dovranno accettare per accedere alla nuova associazione “Movimento 5 Stelle” (consultabile qui e dal mio sito) non sono elencati i responsabili del trattamento esterni all’associazione, ma per conoscerne l’elenco bisogna richiederlo per iscritto al responsabile principale (l’Associazione Rousseau):

I dati personali degli scritti verranno condivisi soltanto con i Responsabili del trattamento (interni ed esterni al MoVimento 5 Stelle) per il raggiungimento delle finalità del trattamento. Non verranno comunicati né diffusi a terzi e verranno conservati sia su supporto magnetico che su supporto cartaceo.

[…]

Il responsabile del trattamento dei dati è l’Associazione Rousseau in persona del legale rappresentante con sede in via G. Morone n. 6, Milano. Come sopra indicato esistono altri responsabili del trattamento (esterni) nominati con apposita nomina ex art. 29 Codice privacy per l’esecuzione dei trattamenti necessari alle finalità proprie del MoVimento 5 Stelle. L’elenco dei responsabili esterni è conoscibile inviando richiesta scritta al Responsabile del trattamento dei dati.

Insomma, bisogna chiedere prima di procedere con l’iscrizione a meno che non vi fidiate ciecamente accettando documenti senza sapere il necessario.

————————–

Per leggere tutti gli articoli legati a questa storia potete cliccare nel tag “hack5stelle“.

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.