Ancora voto elettronico

Posted on March 6, 2007 by claudio

Sì, sto smaltendo gli arretrati… due notizie. La prima è naturalmente il voto via Internet in Estonia. La notizia viene pubblicata come un successo da più parti, mentre Punto Informatico fa presente che molti paesi non considerano il sistema adeguato ai loro requisiti per il voto. L’estonia deve essere un paese terribilmente sviluppato dal punto di vista dell’informatica, lo si sente sempre nominare, anche in iniziative di e-government. Forse per questo hanno un entusiasmo eccessivo…

Prima di tutto: un sistema di voto è un successo quando i voti sono stati conteggiati correttamente, il voto è rimasto segreto e i votanti hanno potuto esprimersi liberamente. Queste tre condizioni sono estremamente difficili da verificare, ancor più che da realizzare. Quando si parla di successo, di solito è perché “nessuno si è lamentato”, dubito però che se un gruppo di persone avesse votato da casa del capo della mafia locale, si sarebbe poi andato a lamentare con qualcuno. Quanto però il problema venga visto dalla prospettiva sbagliata lo si vede dalle affermazioni di chi, ovviamente, cerca di vendere il proprio sistema. Cito: Tra le altre esternazioni riportate da Wired anche quelle dei responsabili tecnici del progetto estone, che dichiarano: “Ci si fida di trasferire soldi su Internet, e non ci si fida di esprimere il proprio voto? Non credo”. Si tratta di un’affermazione che ha poco senso, se non da un punto di vista pubblicitario. I due problemi sono accomunati solo dall’informatica, ma sono completamente diversi come requisiti e contesto. Temo che quando si parla di voto via Internet, la preoccupazione, inappropriata, sia quella del hacker o del virus che mi fa votare quello che vuole. La vera preoccupazione invece dovrebbe essere che si perde la garanzia di libera di espressione data dalla cabina elettorale, votando da un contesto in cui nessuno può tutelare il votante. Come ho già avuto modo di dire, sono sicuro che in molte, molte famiglie, anche in Italia, l’intera famiglia finirebbe per votare come il capofamiglia. Poi, c’è una differenza fondamentale: quello che faccio o mi viene fatto fare in banca lascia una traccia che può facilmente portare a riconoscere un illecito. È vero che la banca controlla il sistema di home banking, ma è anche vero che se un gruppo di utenti vede i suoi soldi che se ne vanno sul conto del direttore della banca protesta, ed ha buone probabilità di essere creduto. Se i voti anche di migliaia di elettori vengono dirottati sul candidato del partito che ha assegnato l’appalto per il sistema di voto, nessuno se ne accorge.

La seconda notizia arriva a fagiolo, da Wired: Diebold, la più nota produttrice di macchine per il voto elettronico in USA, sta pensando di  abbandonare il settore, perché i continui problemi stanno danneggiando la sua immagine in quello che è il suo vero business: gli sportelli automatici. Giusto per dire che qualche differenza c’è 😉

Posted in ict, Sicurezza, Varie | Comments Off on Ancora voto elettronico

Riguardo a WordPress e alla manomissione del codice

Posted on March 6, 2007 by claudio

Ricapitoliamo: qualcuno è riuscito ad accedere ad uno dei server che supportano la distribuzione di WordPress ed ha inserito una backdoor nel codice distribuito. Poi, qualcuno di quelli che hanno scaricato wordpress se n’è accorto e l’ha segnalato agli sviluppatori, che hanno preso provvedimenti. È stata toccata solo la versione sul sito per la distribuzione, e non quella di sviluppo gestita con Subversion.

Come dice la pagina sul sito di WordPress, è una di quelle cose che vorresti non succedessero mai… ma è anche una di quelle cose che sai che potrebbero succedere, e per le quali devi essere preparato. In passato ci sono stati casi illustri, che hanno coinvolto ogni genere di aziende, e non solo il mondo open source. Questo sarebbe il tipico problema che i meccanismi di firma del software sono destinati a risolvere, e l’unico che secondo me riescono a risolvere bene. Al limite, può andare bene anche la pubblicazione dell’hash del codice, purché la pubblicazione avvenga in un contesto che difficilmente può essere violato quando viene manomesso il codice: pubblicare codice ed hash nella stessa directory è sostanzialmente inutile.

Tuttavia, la firma del software è un meccanismo che funziona solo se è diffuso ed affidabile: se troppo software non lo utilizza, o se chi lo utilizza spesso sbaglia, il meccanismo non è efficace, perché l’utente si abitua ad installare software non firmato o che genera warning. Mentre chi firma il software raramente firma il codice sbagliato, è successo piuttosto spesso che venissero utilizzate chiavi che il sistema di verifica previsto non riconosceva come valide. A me è successo qualche anno fa con chiavi di Microsoft Europe, e mi succede con una certa frequenza con chiavi pgp di firma degli rpm.

Comunque sia, WordPress non usa niente, nè firma nè hash. In questo caso, la sicurezza del sistema diventa fondamentale (ma rimane comunque un’alternativa di ripiego). Anche in questo caso, la funzione da svolgere è semplice: niente form, database o cose strane, possono essere richiesti via http alcuni file, e il server li deve fornire. Ma naturalmente, trattandosi di WordPress, il tutto non viene fatto nel contesto di un server http statico, in cui la compromissione sarebbe difficile: viene fatto in un contesto che comprende molte altre funzionalità. Cito: It was determined that a cracker had gained user-level access to one of the servers that powers wordpress.org, and had used that access to modify the download file. Non è possibile dedurre molto da questa affermazione, nè mi interessa dare addosso a WordPress in particolare, ma sembra probabilmente il caso in cui dalla compromissione di un contesto si è arrivati a comprometterne un altro. La risposta immediata a un problema di questo tipo sarebbe la segregazione: se manipolare la distribuzione di un pacchetto software ha una criticità diversa rispetto, che so, a pubblicare un post di commento (e ce l’ha), allora i due contesti dovrebbero essere separati, almeno logicamente. La critica è altrettanto immediata: troppi “contesti diversi” sono scomodi e difficili da gestire, finiscono per rallentare il lavoro e nel complesso possono diventare inefficaci perché inutilizzabili in modo corretto. Entrambe le affermazioni sono vere: l’importante è che la scelta dell’una o dell’altra posizione, o di soluzioni di compromesso, sia una scelta consapevole e fatta caso per caso, e non una posizione preconcetta.

Qual’è stata la soluzione di WordPress? We are also taking lots of measures to ensure something like this can’t happen again, not the least of which is minutely external verification of the download package so we’ll know immediately if something goes wrong for any reason. Dove altre misure non sono (o non vogliono essere) praticabili, rimane il monitoraggio…

Posted in Sicurezza | Comments Off on Riguardo a WordPress e alla manomissione del codice

Backdoor in wordpress?

Posted on March 3, 2007 by claudio

Da securiteam, confermato sul sito di wordpress. Per ora non aggiungo altro, che vado a cena 😉 I commenti domani.

Posted in Sicurezza | Comments Off on Backdoor in wordpress?