Almanacco dell'Innovazione - 4 agosto 2017

L'hacker buono che svelò i problemi della piattaforma Rousseau

Luigi Gubello 
3 minuti di lettura

Il 4 agosto del 2017 i giornali erano pieni di notizie su un altro attacco hacker, infinitamente meno grave di quello che in queste ore ha come vittima la Regione Lazio, va detto.

L’attacco alla piattaforma Rousseau. Ai tempi il M5S si preparava a diventare il primo partito, vincere le elezioni politiche e governare, ad alleati alterni, per l’intera legislatura. Davide Casaleggio, che della piattaforma Rousseau era il nume tutelare, al Washington Post dirà: “Siamo un vento inarrestabile… la prima, grande organizzazione politica digitale nel mondo, nata e cresciuta online”. Al centro di tutto c’era la piattaforma Rousseau, “dal nome del filosofo del XVIII Secolo che sosteneva che la politica dovesse riflettere la volontà generale della gente. E questo è esattamente ciò che fa la nostra piattaforma: permette ai cittadini di essere parte della politica. La democrazia diretta, resa possibile da Internet, ha dato una nuova centralità ai cittadini e alla fine porterà alla decostruzione delle attuali organizzazioni politiche e sociali”.

Qualche mese prima di questi proclami, uno studente di matematica di Portogruaro era entrato dentro Rousseau per dimostrarne la vulnerabilità. Il suo nome è Luigi Gubello, ma si fa chiamare Evariste Galois (“gli studenti di matematica lo sanno bene chi era”). Luigi Gubello è un hacker, ma un hacker buono. Non vuole fare danni, ma solo avvertire che c’è un problema. Un ruolo fondamentale a patto che chi sta dall’altra parte abbia voglia di sentirselo dire o di farlo sapere. Non è quello il caso.

Ma ecco la vicenda come ricostruita su Wired da Raffaele Angius il 18 aprile 2019: “Questa pagina non è un attacco politico. È stata pubblicata solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo”. È il primo agosto del 2017 quando Evariste Galois (fino a quel momento celato dietro un anonimo profilo su Twitter) pubblica online una pagina che descrive le vulnerabilità di Rousseau, la piattaforma del Movimento 5 Stelle. Il sito è anche la visione del defunto Gianroberto Casaleggio, che ha portato in Italia il concetto di democrazia diretta proprio attraverso questo strumento informatico che consente agli elettori di esprimersi sulla direzione politica del Movimento, votandone le decisioni. Ma Rousseau è difettoso, e a certificarlo pensa un altro hacker (stavolta cattivo), che attacca Evariste Galois per aver svelato il trucco: il suo profilo Twitter porta il nome di Rogue0 ed è lì che rivendica di essere stato a lungo dentro la piattaforma, dalla quale potrebbe aver sottratto dati da rivendere al mercato nero. Come in una partita a scacchi, a ogni tweet di Rogue0 è seguita una risposta da parte dell’Associazione Rousseau. Tuttavia, come ha spiegato lo stesso black-hat (hacker malintenzionato) in una serie di messaggi privati: “Sì, LOL, ci provano sempre. Ma io ho gli annali dei loro DB (database, ndr), quindi trai le tue conclusioni”.

Nonostante i profili coinvolti in questa vicenda siano sempre stati due, il white-hat e il black-hat, la certezza che non si sia sempre trattato della stessa persona arriverà solo a febbraio del 2018, con l’identificazione di Gubello: “Preso l’hacker di Rousseau, adesso tocca ai mandanti”, è l’annuncio dato su Twitter da Luigi Di Maio il 6 febbraio del 2018, a poche ore dall’identificazione del giovane studente di matematica di Portogruaro. Ironicamente, poche ore dopo, un post con il medesimo titolo veniva pubblicato proprio sulla piattaforma dall’account di Davide Casaleggio. Peccato che a controllarlo fosse ancora Rogue0. Con un messaggio contenente codice fiscale, indirizzo mail e numero di telefono di Casaleggio, l’hacker cattivo dimostrava di avere ancora accesso alla piattaforma, e soprattutto di essere una persona diversa da Galois, i cui computer erano già stati sequestrati.

“Libero Finalmente è arrivata la fine!”. Con queste poche parole, affidate a un’app di messaggistica ultrasicura, Luigi Gubello ha confermato a Wired la conclusione del suo calvario giudiziario. Il ventisettenne studente di matematica (e candidato alle prossime elezioni europee) è noto con lo pseudonimo di Evariste Galois, identità che aveva utilizzato, nell’agosto del 2017, per svelare pubblicamente le vulnerabilità della piattaforma Rousseau. Ma come annunciato a febbraio, l’Associazione Rousseau ha ritirato la querela nei confronti dell’hacker buono, oggi accolta dall’undicesima sezione penale del tribunale di Milano. Gubello era accusato di “accesso abusivo in sistema informatico”, reato per cui sono previste pene fino a 3 anni di reclusione.

Luigi Gubello oggi è un consulente informatico, nel 2018 si è candidato alle elezioni per il Partito Pirata; non parla volentieri di questa vicenda che considera “un po’ noiosa”.  Ne è stato però realizzato un documentario interessante, The Choice, che  non è semplicissimo vedere. Sta su Vimeo. Ve lo consiglio.