Falla critica nel futuro voto elettronico svizzero: consentirebbe di manipolare i voti

La Svizzera sta attualmente conducendo un grande “bug bounty” per testare la sicurezza del suo futuro sistema di voto elettronico. Fino al 24 marzo oltre 3.000 ricercatori, sviluppatori, penetration tester e hacker hanno la possibilità di trovare errori, bug e vulnerabilità nel sistema di e-voting sviluppato dalla Posta Svizzera assieme a Scytl, un’azienda con sede a Barcellona che sviluppa sistemi di voto elettronico.

Oggi però tre ricercatori, Sarah Jamie Lewis, precedentemente impiegata dal GCHQ britannico e oggi direttore esecutivo della Open Privacy Research Society, Olivier Pereira dell’Università di Louvain e Vanessa Teague dell’Università di Melbourne, hanno presentato un documento (qui la versione in PDF) dove descrivono una vulnerabilità di sicurezza molto grave, che consentiva agli amministratori la manipolazione del voto senza lasciare traccia.

La Posta Svizzera ha emesso un comunicato dove riconosce la falla di sicurezza, ma ammette anche che tale vulnerabilità era nota già dal 2017. Sorprendentemente, l’azienda Scytl non la aveva corretta in maniera adeguata, e il bug si è protratto fino a oggi.

Sorprende ancora di più come la vulnerabilità, visibile nel codice sorgente del sistema di voto, fosse rimasta nascosta a diversi audit di sicurezza avvenuti prima di questo bug bounty. Tale fatto, secondo i ricercatori, solleva più di un dubbio sulla sicurezza di tutto il sistema.

Da notare poi come la scoperta sia avvenuta al di fuori dei canali ufficiali del bug bounty. I ricercatori infatti contestano le regole del progetto, in particolare il fatto che questa indagine sia stata organizzata dallo stesso ente, la Posta Svizzera, che andrebbe a gestire tutto il meccanismo di e-voting per la Confederazione.

Oggi infine la Cancelleria Federale elvetica ha emesso un comunicato dove riconosce la scoperta della vulnerabilità di sicurezza, ma rassicura che il sistema di voto elettronico attualmente usato da alcuni Cantoni non è coinvolto.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.