Sul PuntoInformatico di oggi è presente una mia intervista con Luca Annunziata in merito al sito
Ne riporto alcuni stralci:
Punto Informatico: Sul sito rivotiamo.it è possibile inserire firme fasulle. I gestori hanno rimosso quelle palesemente dubbie, ma è tuttora possibile continuare ad inserire false sottoscrizioni: c’è modo di verificare l’identità e l’autenticità dei firmatari?
Matteo Flora: Per come il sistema è strutturato attualmente, il coefficiente di realtà delle firme espresse è prossimo allo zero. Con pochi spiccioli posso acquistare su web un elenco di centinaia di migliaia di nomi plausibili ma creati artificialmente, con relativa plausibile mail. Ma il sistema attuale non controlla nemmeno la mail di destinazione.PI: Qualche esempio?
MF: Personalmente ho testato un semplice script che ha creato parecchi voti con dati plausibili. Vedo chiaramente salire il contatore ma non l’ho mai visto scendere una sola volta. Ho monitorato il sistema negli ultimi 4 giorni e mai una volta mi sono ritrovato a vederlo scendere per la rimozione dei dati spuri.PI: Si potrebbe migliorare la situazione?
MF: Quanta difficoltà vi sarebbe stata nel predisporre per lo meno una mail di conferma? E soprattutto, essendo la soluzione così semplice, perché non approntarla e accollarsi invece tutti questi falsi positivi?PI: E il filtro sugli IP suggerito dai gestori di rivotiamo.it.
MF: Anche il filtro su base IP, tanto declamato, è in realtà molto dubbio: ad esempio per Fastweb (che espone su internet centinaia di migliaia di utenti da pochissimi IP utilizzando NAT) sarei curioso di sapere se si è deciso di non fare votare tutte queste persone o se si è preferito non implementare filtri.PI: Esiste un sistema per creare una petizione online “sicura”? Una petizione, insomma, che sia valida a tutti gli effetti?
MF: Ebbene sì, basterebbe che l’amministrazione statale avesse istruito i cittadini all’utilizzo della firma digitale! Senza andare a questi livelli di complessità, basterebbe un controllo formale più aggressivo, magari con nome, cognome e data di nascita, a tamponare l’enorme quantità di falsi positivi.PI: Ci sono alternative al fai-da-te?
MF: Esistono piattaforme storiche per la gestione delle petizioni, ma ciascuna di queste implementa per lo meno una serie di meccanismi di autenticazione. Che sia una mail di conferma, che sia un controllo formale dei dati o anche, solamente, l’invito a firmare una dichiarazione di conformità alla realtà dei dati immessi.PI: E quindi?
MF: E quindi sono perplesso.
Mettiamo le cose in chiaro: non sono alla ricerca di facile notorietà e lo script esiste davvero. Si basa su Ruby e Watir e qui sotto ne trovate l’intero sorgente:
[Ruby] require ‘rubygems’ require ‘SafariWatir’
startUrl = “http://www.rivotiamo.it/”
b = Watir::Safari.new b.speed = :fast
(1..1000).each do |x| begin fakeName = rand(500000000).tos(26) b.goto(startUrl) b.textfield(:id, “name”).set(fakeName) b.textfield(:id, “surname”).set(fakeName) b.textfield(:id, “cap”).set(20000 + rand(400)) fakeName = “#{fakeName}@#{fakeName}.com” b.textfield(:id, “email”).set(fakeName) b.link(:id, “bsign”).click() rescue puts ” Sh*i happens…” end end [/ruby]
Cosa genera questo script?
Semplicemente voti spuri che vengono conteggiati normalmente dal sistema. Eccone qui sotto la dimostrazione pratica:
Certo che i voti generati in questo modo sono assolutamente semplici da individuare (ed era esattamente l’obiettivo), ma basterebbe anche semplicemente acquistare qualche decina di migliaia di indirizzi “spuri” ma plausibili ad un sito come http://www.fakenamegenerator.com e lo script genererebbe voti che non sono distinguibili da quelli reali.
Che dire? Semplicemente rimango ancora più perplesso. E che dire poi anche del simpatico numero “899″ che tanti hanno chiamato truffa?
P.S. Giusto per dovere di cronaca: sono un elettore di DESTRA e teoricamente un elettore della compagine di Berlusconi. Quindi, per cortesia, evitate di darmi del comunista che mi offendo =]
UPDATE Dietro al sito web fervono movimenti e una serie di brave manovre… Il codice sta cambiando a gran velocità e sembra che si stiano impementando una serie di blocchi, tra cui quello IP.
Mi chiedo come faranno cone Fastweb e tutte le centinaia di utenti nattati sotto stesso IP. Mi sa che i prossimi test li farò da casa di un amico con Fastweb :)
Probabilmente entro domani avremo una bella differenza dal risultato che ho ottenuto io… Pazienza, buone o cattive che siano le intenzioni l’importante, come al solito, è che le problematiche vengano risolte :P
Post Simili
»(in)sicurezza: Matteo Flora e il Punto-Informatico insieme
»Riparare la falla di Firefox…
»Silvio Berlusconi, le intercettazioni e la privacy di quando ci fa comodo
»Yahhwwnn siamo un po’ lenti stamattina…
»Domenico dipinge…
»Oltre 500 iscritti…
»Ciao, Francesco. Arrivederci.
»Jago
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
20 Nov 07
3:50 am
Bell’hack, complimenti!
Senza neanche spendere niente basta una lista di nomi e una lista di cognomi uno stradario e l’elenco dei comuni. e combinarli casualmente.
Penso che i ferventi lavori sul sito siano (almeno in parte) conseguenza della pubblicazione del video dove firma tra gli altri Babbo Natale sul blog di Grillo. Se conosco i Grillini saranno tutti a divertirsi ad inserire i nomi più buffi.
20 Nov 07
10:18 am
Ciao,
anche io sono di destra e mi ha interessato tantissimo quello che hai fatto. Proprio fra 20 giorni dovrei consegnare un progetto in cui ipotizzavo una possibile architettura per poter raccogliere petizioni sicure & autenticate, e anche io mi baserei sul fatto che gli italiani dovrebbero usare la firma digitale…
Il problema è la legge italiana, per cui non si può firmare con PGP, ma solo una firma ottenuta mediante smart card è considerata valida…
Quindi si deve attendere carte d’identità elettroniche, modifiche alle leggi per raccogliere firme (vidimatori, autenticatori…ce ne sono di passaggi da considerare!)
La verità è che Berlusconi voleva 1) contare i possibili elettori (probabilmente tengono conto di un certo tasso di confusione introdotto dai soliti furbi) 2)Fare una prova di forza alla partito democratico.
Cosa ne pensi io, nonostante di centro destra, è meglio che non lo dica…
20 Nov 07
2:11 pm
Cercando in rete ho visto che non sei l’unico e forse non il primo che ne parla: http://www.lonerunners.net/blog/archives/1153-Le-vulnerabilita-XSS-sono-sottovalutate.html
20 Nov 07
3:14 pm
@Giorgio
Brutta cosa non sapere leggere…
Se dai un’occhiata al secondo paragrafo leggerai:
Qindi credo proprio… di essere arrivato un filo prima non credi?
E comuqnue sia, chissene importa? Dovevi PER FORZA sottolineare (erroneamente) che non ero il primo?
Ma lol!
20 Nov 07
7:54 pm
Ciao Matteo, ad un punto dell’intervista scrivi: “Senza andare a questi livelli di complessità, basterebbe un controllo formale più aggressivo, magari con nome, cognome e data di nascita, a tamponare l’enorme quantità di falsi positivi.”
Non ho ben chiaro come si possa controllare la veridicità di una sottoscrizione incrociando nome, cognome e data di nascita?
E’ sbagliato il mio ragionamento?
Complimenti, infine, per il tuo blog lo seguo tramite RSS.
Luigi
20 Nov 07
9:10 pm
[...] resto dell’intervista la potete trovare QUI e [...]
20 Nov 07
10:38 pm
@Giorgio:
Sono io l’autore del blog che hai citato e sinceramene nemmeno io capisco il senso del tuo commento.
Non so se ho scoperto prima io, un paio di settimane fa, la vuln o LK, ma scusa cosa conta? E’ una gara? Facciamo a chi ce lo ha piu’ lungo? L’advisory eh..
Come ho scritto nel post, e mi associo al commento dell’amico LK sul fatto che forse non sai leggere, non mi interessa la fama, quella la lascio ad altri piu bravi di me in marketing, io sono un tecnico e a me interessa solo che le cose vengano fuori, da me o da altri.
Quindi molto probabilmente, in simpatia e amicizia, non hai capito una mazza di quello che hai letto.
20 Nov 07
10:39 pm
uhm.. noto che gli apici della mia tastiera US hanno un po incasinato il layout.. sorry
21 Nov 07
11:54 am
@Jekil
Fixato… Il blog è un po’ stupido per quanto riguarda certi caratteri…
Ci vediamo al CCC di Dicembre? io sono MOLTO indeciso…
21 Nov 07
11:56 am
@Luigi
Beh, senza essere paranoici sarebbe bastato inserire un controllo della mail (mandando mail di conferma) e richiedere un Codice Fiscale per controllare nome, cognome e data di nascita.
Avrebbe reso decisamente più complesse le manovre di votazione “spuria” e avrebbe forse impedito tutta una serie di manovre che hanno portato alla “ridicolizzazione” dell’iniziativa.
21 Nov 07
12:03 pm
La colpa non e’ di chi sta al vertice ma di chi ha sviluppato il sito-sistema
Non puoi fare una colpa ad un 70enne se non sa una benemerita ceppa di informatica internet e IT in generale.
l’idiota e’ quello che sta sotto che ha deciso come sfruttare l’IT per la raccolta delle firme e’ lui che dobbiamo mettere in croce, andrebbe messo alla gogna !
21 Nov 07
1:44 pm
[...] http://www.lastknight.com/2007/11/20/rivotiamoit-qualche-piccolo-problema [...]
21 Nov 07
2:07 pm
Guardate come raccolgono le firme gli altri…
http://www.ilgiulivo.com/cms/images/video/grillo8.html
22 Nov 07
7:01 am
[...] Non si sa di preciso quello che sia successo nei gazebo sparsi per l’Italia, mentre la spiegazione di Matteo Flora è più che sufficiente a raccontare come funzionava il modulo via web. Nei giorni successivi, [...]
23 Nov 07
11:36 am
[...] è molto saggio il commento e l’analisi di Lastknight (tra l’altro elettore di destra). Io però, da smanettone senza particolari conoscenze, sarei [...]
25 Nov 07
12:03 am
[...] Rivotiamo.it: Qualche piccolo problema… [...]
20 Dec 07
4:27 pm
[...] e per non nascondermi dietro le dita di una mano. Sono un elettore di destra che non ha esitato a sputtanare Rivotiamo.it, come farei con qualunque altra baggianata. Sono un elettore di destra non asservito ma [...]