Ieri 2 luglio, nel pomeriggio, il profilo personale Facebook dell’ex senatore Roberto Cociancich, di Italia Viva, è stato oggetto di un attacco informatico: al posto dei regolari contenuti sono state postate orribili immagini pedopornografiche (e anche video) e anche immagini di propaganda del terrorismo jihadista.

Il figlio ha annunciato pubblicamente l’attacco intorno alle 18, dicendo che ha perso l’accesso all’account, al quale è stata cambiata la password, e dichiarando che è stata sporta denuncia alle autorità. Questa è stata la cosa giusta da fare, denunciare certi reati informatici è sempre importante, ed è essenziale quando la violazione porta alla pubblicazione di questa spazzatura che nessuno dovrebbe essere obbligato a vedere nella propria vita.

La notizia è giunta anche sulle bacheche di altri politici, come Maryan Ismail, e di giornalisti, come Fabio Massa.

Per di più, l’attacco è giunto pochi giorni dopo l’organizzazione da parte del Senatore della presentazione di un libro relativo alla resistenza ucraina all’invasione russa, portando molti a pensare che vi possa essere un legame tra le due cose. In effetti, non è il classico attacco informatico all’italiana, dove solitamente si prende in giro l’avversario (ricordo ancora quando violarono Salvini e, oltre a leakare le sue email, pubblicarono post del tipo “se arrivo a 1000 like mi raso a zero” o “questo è il mio primo spinello, aiutatemi a migliorare”), ma è anche vero che esistono persone che semplicemente attaccano account con password deboli, riempiendoli di materiale osceno, al fine di portarli al ban. Insomma, senza un’indagine sul tema è ben difficile parlare di attacco politicamente motivato o meno.

La (non) reazione di Facebook

Ciò che mi ha lasciato a bocca aperta è stata la reazione di Facebook, o meglio la “non reazione”: la stessa piattaforma che è tanto zelante quando qualcuno cita la nota canzone i Watussi o sbaglia a scrivere “torrone” mettendo una “e” al posto della prima “o” e banna a vista chi condivide I Led Zeppelin in questo caso, e nonostante molte segnalazioni, non ha praticamente fatto nulla.

Nessun filtro che ha rilevato la pornografia (che su FB viene bannata a prescindere e, come saprà qualsiasi ragazza prosperosa o particolarmente svestita su Instagram, Meta ha anche una visione molto bigotta sul tema), nessun filtro che ha rilevato le immagini a sfondo terroristico, niente di niente.

Solo intorno alle 20 la visibilità del profilo è stata ridotta, e al momento della pubblicazione dell’articolo, mezzanotte del 3 luglio alle ore 00:00 UTC+2, il profilo era ancora attivo e col contenuto incriminato. Intorno all’una di notte è stato finalmente cancellato.

In un certo senso, non è difficile considerare Facebook un complice, almeno morale, nella diffusione di immagini pedopornografiche.

Domande frequenti

Ho letto, nei commenti a questa vicenda, alcune domande, alcune un po’ banali per un informatico, vediamole e rispondiamo.

Com'è possibile violare così facilmente un account?

Purtroppo, senza le adeguate protezioni, è facile: basta avere la password. Se non si utilizza l’autenticazione a due fattori, ossia un sistema che richiede un codice secondario generato o inviato dalla piattaforma, è sufficiente scovare appunto la password, cosa possibile con del phishing, ossia una pagina falsa che simula l’accesso a Facebook, con una generazione a forza bruta o tramite un leak di altri servizi.

Ma il diretto interessato non può cancellare tutto?

No, perché la prima cosa che fanno i pirati è cambiare la password, rendendo impossibile l’accesso immediato. La piattaforma potrà, infine, ridare l’accesso al legittimo proprietario, ma normalmente ciò richiede delle verifiche.

Come mai le autorità non possono chiudere il profilo subito?

Facebook è una piattaforma privata, quindi dev’essere lei a chiudere un profilo. È noto che le forze dell’ordine abbiano un canale privilegiato di comunicazione, ma resta ciò, un canale, è Facebook che poi agirà.

Per di più, è improbabile che tutte le caserme dei Carabinieri o i commissariari di Polizia abbiano l’addestramento per usare l’accesso privilegiato, è più probabile che ci siano alcune sezioni specializzate, cosa che rallenta l’azione di polizia.

Com'è possibile che i sistemi di Facebook non siano intervenuti?

Questa è la domanda interessante: nessuno lo sa per davvero, d’altronde gli algoritmi di Facebook sono segreti, ma in ogni caso il fatto dimostra che sono inadeguati.

La mia ipotesi è che alcuni profili siano giudicati “affidabili”, cosa comune per i politici, che d’altronde possono scrivere cose che porterebbero al ban chiunque altro, e che siano largamente esentati dalla moderazione: è infatti raro che anche una tempesta di segnalazioni porti effettivamente a un ban.

Al contempo, chi gestisce pagine rilevanti è sottoposto a particolare attenzione nel login, tant'è che dovrebbero avere obbligatoriamente l’autenticazione a due fattori.

È quindi un’ipotesi possibile che Facebook ritenga il profilo del Senatore sufficientemente fidato da non moderarlo automaticamente e da metterlo in fondo alla moderazione manuale, ma non ritenga la sua pagina così famosa da aumentare i controlli sul login.

Come ridurre il rischio

Buone tecniche da seguire, specie se siete personaggi pubblici, per ridurre il rischio di violazione sono:

  • Utilizzare una password forte, unica per ogni servizio, e cambiarla ragionevolmente spesso
  • Attivare l’autenticazione a due fattori, possibilmente con un token hardware o un’app (tipo Google Authenticator): l’autenticazione via SMS è più semplice da attaccare, ma è meglio di niente
  • Prestare particolare attenzione ad ogni e-mail o messaggio che dichiara di provenire da Facebook o altri social, può essere un tentativo di phishing
  • Prestare particolare attenzione alla sicurezza generale del proprio dispositivo: se esso viene infettato la gran parte delle misure qui descritte perdono d’efficacia. Se non sapete come fare pagate qualcuno perché ve lo spieghi o faccia per voi: è meglio spendere qualcosa che trovarsi l’account violato
  • Se avete un’organizzazione o uno staff assicuratevi che tutti siano informati sulla sicurezza e che ci sia una figura di riferimento in grado di aiutare tutti e garantire le migliori pratiche di sicurezza, misurando i rischi e avvertendo di determinate campagne di attacco, mirate o meno

Soprattutto, se malauguratamente vi capitasse una cosa del genere andate subito a denunciare e non provate a farvi giustizia fa soli: maneggiare certe cose può scadere rapidamente nel penale, è molto meglio lasciare che siano gli esperti a occuparsene.

Concludo l’articolo unendomi alla solidarietà espressa da molti al senatore: da informatico, il timore di un attacco c'è sempre, e subirlo, specie uno così odioso, dev’essere una cosa molto brutta.

Aggiornamenti

Il Senatore ha rilasciato in serata un videomessaggio dal contenuto molto condivisibile, soprattutto nell’invito a curare con maggiore attenzione la propria sicurezza informatica. Si nota qualche incertezza sul funzionamento della piattaforma, è ad esempio ovvio per chi conosce bene Facebook che una violazione del profilo corrisponda una delle pagine di cui si è amministratori, ma è anche comprensibile: non siamo tutti informatici (anche se tutti usiamo il mezzo informatico). Per di più, è anche interessante la descrizione dell’iter seguito per arrivare alle autorità (Cociancich è un avvocato) e la sua conclusione, proprio sulle differenze d’accesso tra una persona comune e una persona che è già dentro al sistema legale in casi del genere.

È sicuramente apprezzabile l’idea di impegno politico contro cose del genere, ma temo che la forma migliore di impegno sia quella più nobile di impegno politico: quella individuale.

Leggi e operatori hanno un potere limitato in una Rete che tende, nel bene e nel male, ad autoregolarsi. Seguire le pratiche di sicurezza è sempre più essenziale, proprio per evitare problematiche del genere.