Luca Annunziata

Luca Annunziata

Lug 31, 2017, 3:42pm

Luca Annunziata

Luca Annunziata

Lug 31, 2017, 3:42pm

Voto digitale, a DefCon 2017 bastano 90 minuti per bucare una voting machine

Gli hacker statunitensi mettono alla prova gli apparecchi per il voto elettronico d'Oltreoceano, svelandone le falle. In Italia la Regione Lombardia ha appena ordinato 24.000 apparecchi simili per il referendum sull'autonomia

Il 22 ottobre prossimo la Lombardia porterà i suoi cittadini al voto per un referendum sull’autonomia della regione, e nell’occasione l’amministrazione Maroni ha deciso di trasformare la votazione in un processo digitale: è della settimana scorsa la notizia che è stato siglato il contratto per la fornitura di 24mila tablet con una spesa di 23 milioni di euro circa, tablet che poi resteranno in dotazione alle scuole. Ma da Las Vegas, dove è in corso la conferenza hacker DefCon, giunge la notizia che gli smanettoni si sono dedicati a cercare falle e vulnerabilità di queste voting machine con ottimi risultati – se così si può dire.

Il report dal DefCon 2017

Carsten Schürmann, professore della IT University di Copenhagen, si è presentato a Las Vegas piuttosto agguerrito: ha sottoposto un prodotto ormai fuori produzione, la WinVote di AVS, a una serie di attacchi tramite exploit noti ed ha preso il controllo della macchina in meno di due ore. Come detto si tratta di un prodotto che non è più disponibile, la stessa AVS ha chiuso i battenti anni fa, ma la macchina in oggetto è stata in servizio fino al 2015: è stata impiegata in Virginia fino alla rielezione di Barack Obama del 2012, senza che venisse presa alcuna misura di protezione per le vulnerabilità note del sistema.

Dal Nevada non sono arrivate indicazioni su possibili exploit relativi a macchine ancora in uso, ma le voci su possibili influenze estere sulle votazioni del 2016 che hanno incoronato Trump presidente USA non sono mancate (la polemica infuria ancora oggi): anche una macchina prodotta da Diebold è stata compromessa (qualcuno si è anche divertito a installare su alcune voting machine Windows Media Player, per fargli suonare musica), ma anche in questo caso l’azienda ha fatto sapere di aver venduto quel ramo nel 2009 e di non essere più impegnata nel settore.

Le voting machine altro non sono che dei veri e propri computer: pertanto se è possibile avere accesso al sistema, fisicamente via USB o soltanto a mezzo wireless, possono essere suscettibili di hacking. In diversi casi, raccontano i report da Las Vegas, è stato possibile accedere via WiFi o via USB al software a bordo delle macchine, sfruttando vecchie vulnerabilità prive di una patch. Spesso al loro interno le macchine conservavano ancora i dati di voto: sono state quasi tutte acquistate attraverso delle aste, nelle quali i vari stati hanno deciso di ricavare qualche dollaro dismettendo tecnologia obsoleta, dimenticando però di ripulirle prima di mettere le macchine in vendita.

Il voto lombardo

La questione italiana è molto differente. La Regione Lombardia ha creato una gara apposita per assegnare la fornitura dei tablet che saranno utilizzati nel referendum consultivo sull’autonomia, e nelle regole erano specificati alcuni criteri relativi alla sicurezza del voto. L’obiettivo dichiarato, inoltre, era quello di investire del denaro non a fondo perduto: le macchine acquistate per le votazioni dovrebbero essere dei tablet che poi saranno lasciati in dotazione alle scuole, i luoghi che cioè ospiteranno questa tornata elettorale.

A spuntarla nella gara lombarda, alla fine, è stata la società olandese specializzata in voto elettronico Smartmatic International Holding B.V.. In Olanda confluiranno circa 23 milioni di euro per la fornitura di 24mila tablet: nella cifra sono compresi anche l’assistenza il giorno del voto e la piattaforma software, che permetterà di toccare semplicemente lo schermo per indicare la propria preferenza (sì, no, scheda bianca) e che consentirà di effettuare in pochi minuti lo spoglio a urne chiuse.

Resta qualche dubbio su come questi tablet saranno reimpiegati nelle scuole. Con 8.000 seggi previsti per il referendum, e considerando 24.000 tablet compresi nella fornitura, parliamo di pochi esemplari per istituto. Ma è soprattutto il tipo di tablet a costituire il problema: a giudicare dal catalogo di Smartmatic non si tratta di un iPad o di un tablet Android, bensì di prodotti basati (giustamente) su sistema operativo Linux e con hardware di tipo PC. A meno che la Regione Lombardia non abbia negoziato accordi differenti, quanto verrà fornito alle scuole rimarrà a prendere polvere in un armadio fino alla successiva consultazione elettorale: sempre che, nel frattempo, non sia diventato obsoleto o peggio si sia rivelato a rischio intrusione.