"Bianca Lewis ha molti hobby. Le piacciono le Barbie, i videogiochi, il canto… e hackerare l'infrastruttura dietro la più potente democrazia del mondo" così la BBC riporta la storia di Lewis, una bambina di 11 anni che, insieme ad altri coetanei, sta partecipando ad una competizione organizzata dall'associazione R00tz Asylum all'interno del Def Con, la più importante convention di sicurezza informatica che si tiene ogni anno a Las Vegas. Per l'edizione 2018, l'organizzazione ha deciso di instaurare anche uno spazio dedicato ai piccoli programmatori, dove si è svolta una competizione sul tema dell'intera convention, cioè la sicurezza delle elezioni in vista delle mid-term di novembre.
Sui risultati di questa competizione, però, si è creata una certa confusione. Perché sebbene la Lewis abbia sottolineato gravi vulnerabilità legate direttamente ai siti web governativi, affermare che "una bambina di 11 anni ha hackerato il voto elettronico" è per lo più sbagliato. Prima di tutto per il vero traguardo raggiunto dalla bambina, che non ha hackerato gli strumenti di voto in sé, ma i siti web che gestiscono le informazioni relative alle elezioni e che, per esempio, ne mostrano i risultati. O indicano alle persone dove andare a votare. Due elementi fondamentali che la bambina è riuscita a violare in pochi minuti.
"Sono siti web estremamente importanti perché riportano i risultati delle elezioni al pubblico" ha spiegato Nico Sell, fondatore di R00tz Asylum. "Dicono anche al pubblico dove andare a votare. Immaginate cosa succederebbe se una di queste due cose dovesse essere hackerata, sarebbe il caos". Qui va fatta la prima precisazione: ai fini della competizione sono stati ricreati 13 siti web governativi legati alle elezioni – perché hackerare quelli veri sarebbe stato illegale – e relativi ai cosiddetti "battleground states", cioè gli stati dove la differenza di voti sarà minima. Nel corso di una giornata, 39 bambini tra gli 8 e i 17 anni hanno provato ad hackerare questi portali; 35 di loro ce l'hanno fatta, arrivando a modificare vari elementi relativi alle votazioni, come il numero di votanti e il nome del vincitore.
La seconda precisazione è, appunto, sulle reali implicazioni di un attacco hacker di questo tipo. Se da un lato è vero che i siti web governativi presi in esame sono afflitti da bug che consentono ad un esperto di introdursi e modificare diversi elementi, come il numero di votanti, il nome dei candidati e persino le indicazioni su dove votare, in nessun caso è possibile sfruttare queste falle per modificare la vera e propria conta dei voti. Le modifiche, insomma, restano limitate ai singoli portali. In poche parole, le vulnerabilità sono sì gravi perché colpiscono la comunicazione ufficiale dei risultati (e le istruzioni su come votare), ma in nessun modo vanno a modificare i voti reali. Compiere quest'ultima operazione è, allo stato attuale delle cose, un procedimento praticamente impossibile, come abbiamo spiegato in un altro articolo. "Dovremmo avere siti web più sicuri" ha spiegato la Lewis". "I russi sono là fuori".
