La scorsa settimana la Posta ha confermato il primo risultato del test di intrusione con una gravità «bassa». La persona che lo ha segnalato è Vladyslav Zubkov, 22 anni, studente di informatica presso il Politecnico federale di Zurigo. Come hacker più veloce, ha ricevuto il bonus di 3000 euro, oltre alla ricompensa di 1000 euro per il risultato. Durante il col-loquio racconta alla Posta come è arrivato all’attacco etico e come intende impegnarsi nel suo futuro professionale per migliorare la sicurezza cibernetica anche in Ucraina, suo paese d’origine.
Il risultato che ho segnalato non è una vulnerabilità che un hacker potrebbe sfruttare 1:1. Si tratta di una definizione mancante nell’intestazione della richiesta HTTP. Nella mia ricerca ho seguito gli elementi standard della sicurezza web. In un controllo di sicurezza, i titoli vengono verificati default. Ecco perché sono rimasto quasi sorpreso quando la mia scoperta è stata confermata. Ho pensato che qualcuno doveva essere stato più veloce.
Lo scorso anno ho svolto un master studentesco presso il Politecnico federale di Losanna e ho scritto una tesi semestrale sul voto elettronico. Nell’ambito di questo lavoro ho esaminato il sistema, individuando diverse possibilità di miglioramento e punti deboli che ho poi segnalato al programma bug bounty della Posta. Durante il test pubblico di intrusione, ho analizzato di nuovo da vicino il codice sorgente e le specifiche. Dal mio punto di vista, il sistema è stato notevolmente migliorato dal 2022 e le mie scoperte sono state implementate.
All’inizio, per me si trattava semplicemente di un progetto studentesco. Ma conoscendolo meglio ha acceso il mio interesse: il sistema è molto significativo dal punto di vista politico e sociale. È bello poter contribuire alla sicurezza di un sistema così importante per la democrazia e la società svizzera. Per me il programma bug bounty per il voto elettronico della Posta è unico nel suo genere.
Ho partecipato a molti eventi di hacking e programmi bug bounty di grandi aziende internazionali. Per me il programma di voto elettronico della Posta si distingue per diversi motivi: il tema stesso ha rilevanza politica; vengono pubblicati i principali componenti del sistema, il che significa che è possibile verificare quasi tutto; inoltre viene ben documentato come installare il sistema sul proprio portatile e simulare così gli attacchi.
Per me che sono un cacciatore di taglie, la Posta soddisfa quindi i tre criteri più importanti: analizza i risultati in modo dettagliato e ha tempi di risposta brevi, paga buoni compensi e ci sono sempre nuovi aspetti da indagare nel programma.
È successo circa quattro anni fa. Allora avevo circa 17 anni. Ho già studiato informatica all’Università politecnica nazionale di Odessa (Ucraina). Professionalmente, mi sono orientato sempre più verso la sicurezza cibernetica. Ho appreso così degli hack event come i test di intrusione e i programmi bug bounty e, oltre a studiare, ho iniziato con l’hacker etico.
Per prima cosa terminerò il mio master. Dopodiché vorrei dedicarmi professionalmente alla sicurezza dei sistemi IT. Per me che questo avvenga come ricercatore indipendente o come esperto di sicurezza informatica in una start-up o in un’azienda affermata è, al momento, di importanza secondaria. Quello che mi interessa, soprattutto, è che la cibersicurezza dei sistemi utilizzati da privati e aziende sia in costante miglioramento. In futuro vorrei contribuire anche alla digitalizzazione del mio paese d’origine, l’Ucraina, in particolare per quel che concerne la sicurezza informatica.
Per quanto mi riguarda, nell’e-government l’aspetto della fiducia è essenziale: divulgando i loro sistemi, gli sviluppatori di software come la Posta consentono a specialiste e specialisti come me di esaminarli e verificarli. Ciò contribuisce notevolmente a creare fiducia in sistemi complessi come il voto elettronico. A mio avviso, la Svizzera e la Posta come fornitore di sistemi stanno percorrendo la strada giusta
Il nuovo sistema di voto elettronico della Posta è stato utilizzato per la prima volta durante le votazioni di giugno 2023 nei Cantoni di Basilea-Città, San Gallo e Turgovia, e l’esperienza è stata positiva. La Posta continua tuttavia a perfezionare l’infrastruttura anche dopo il primo impiego. Nel voto elettronico la sicurezza, infatti, è una priorità assoluta. Quella di coinvolgere la comunità di hacker etici nelle verifiche sulla sicurezza è una misura particolarmente efficace di cibersicurezza.
Dal 2021 la Posta pubblica i componenti essenziali e la documentazione, aggiornandoli continuamente affinché esperte ed esperti possano verificarli. La Posta conduce inoltre, a intervalli regolari, test pubblici di intrusione in cui hacker etici possono attaccare la piattaforma elettorale e di voto alla ricerca di punti vulnerabili.
I risultati confermati sono ricompensati dalla Posta con un massimo di 230’000 euro, a seconda della loro gravità. Nell’ambito del test di intrusione, inoltre, la Posta ha messo in palio un bonus di 3000 euro ai primi tre hacker che segnaleranno un risultato confermato.