Il sito web dello studio Mossack-Fonseca e l’incredibile leggerezza dei gestori: con un banale aggiornamento (e con un ‘firewall’ attivo) oggi non ci sarebbe nessun ‘Panama papers’. La più grande fabbrica del mondo di società off shore e di segreti inconfessabili cade su una buccia di banana. Sembra assurdo. Eppure è successo davvero
11 APRILE 2016
di Ersilio Mattioni e Luca Scandroglio
PANAMA – Il caso ‘Panama papers’, giorno dopo giorno, sta svelando le sue reali proporzioni, con un effetto domino su tutto il globo. La presenza di numerosi nomi di primo piano sembra finora aver contribuito a rendere importante la notizia, ma al tempo stesso, ha anche ‘mitigato’ lo scandalo che ha colpito i singoli protagonisti, arrivando quasi a legittimarli perché in fondo, ad aprire una società estera, che male c’è? Segue una pioggia di analisi socio-politiche sullo Stato esoso, un crudele esattore che spilla denari a tutti e poi, come se non bastasse, li spende pure male. Ma lasciamo stare. E andiamo al punto: l’origine della notizia. Come e perché scoppia il caso ‘Panama papers’? E’ più banale di quanto non si posso pensare.
Tutta colpa di WordPress?
Per chi non lo sapesse, ‘WordPress’ è un software ‘open source’ (cioè un programma ‘aperto’ a chiunque voglia studiarlo e svilupparlo), è gratuito e può vantare una diffusione straordinaria, grazie a una numerosissima comunità di sviluppatori, tanto vasta quanto affidabile. ‘WordPress’ serve per creare siti internet (fra cui anche il nostro: www.liberastampa.net) e, una volta installato in uno spazio web ospitante, soddisfa quasi ogni tipo di esigenza in termini funzionalità e qualità. Proprio a ciò si deve la sua larga diffusione, che viene stimata intorno al 20% di tutti i siti web mondiali esistenti. Fin qui tutto bene, anzi benissimo. Ma cosa succede se il sito costruito e messo in rete con ‘WordPress’ contiene una falla che ne mina la sicurezza?
Sostieni la Libera Informazione
Sul nostro giornale on line trovi l’informazione libera e coraggiosa, perché noi non abbiamo padroni e non riceviamo finanziamenti pubblici. Da sempre, viviamo soltanto grazie ai nostri lettori e ai nostri inserzionisti. Noi vi offriamo un’informazione libera e gratuita. Voi, se potete, dateci un piccolo aiuto.
L’allarme sicurezza sui siti web a rischio
Mesi fa l’intera comunità ‘WordPress’ fu avvisata di un possibile pericolo sul fronte sicurezza. In altre parole, tutti i gestori di siti web furono informati del rischio concreto che alcuni domini internet potessero essere violati. Secondo la pagina ufficiale di Wordfence (un plugin di WordPress utile a risolvere alcuni problemi di sicurezza), l’origine della falla sarebbe stata da ricercare in un bug di Revolution Slider (anch’esso componente aggiuntivo di WordPress) e la minaccia sarebbe stata estesa a tutte le versioni 3.0.95 e precedenti. La notizia, a suo modo, fu anche popolare. Certo, per un pubblico di addetti ai lavori. Ai quali venne fornita anche la soluzione: un opportuno aggiornamento del relativo plugin. Per dirla in modo semplice, fu trovato un difetto, furono avvisati tutti e fu individuato il rimedio. Il problema è che per qualcuno, forse, era già troppo tardi.
L’incredibile superficialità dello studio Mossack-Fonseca
Sembra assurdo, eppure la più grande fabbrica del mondo di società off shore (che deve custodire i segreti di migliaia di ricchi del pianeta) ha costruito il proprio sito web con un’incredibile leggerezza. E come se non bastasse, è caduta nell’errore più comune che fanno i neofiti del web: la vecchia abitudine di non fare gli aggiornamenti. Così succede che ogni tanto il sito si impalli.
Mossack-Fonseca, un sito web colabrodo
La notizia sembra essere confermata dai dati storici legati al web server dello studio Mossack-Fonseca, che offriva a propri clienti un servizio remoto di gestione del proprio account, ‘hostato’ (cioè ospitato) sullo stesso web server (su cui girava anche la posta elettronica) all’interno di un installazione di WordPress. Manco a farlo apposta, su questa installazione c’era pure la falla di cui abbiamo parlato sopra, quel difetto che ha reso i siti costruiti con quelle ‘Revolution Slider’ vulnerabili. Il plugin incriminato, insomma, non è stato riparato con l’aggiornamento, che avrebbe risolto i problemi (come viene mostrato a questo link). E così, sfruttando un Exploit realizzato ad hoc, qualcuno ha avuto accesso al sito web di Mossack-Fonseca (come viene mostrato in questa video-simulazione). Qualcuno potrebbe chiedersi se, a proteggere un dei siti internet più segreti al mondo non c’era neppure un ‘firewall’. Non ci crederete, il ‘firewall’ c’era, ma era incredibilmente inattivo.
Conclusione
Che decidere di implementare una piattaforma di web banking su ‘WordPress’ non sia la scelta più felice, in tutta onestà, lo pensano in molti. Ma soprattutto, benché sia comodissimo per molti scopi, lasciare il ‘firewall’ inattivo è un’autentica follia. Al punto che si fatica a credere che davvero sia andata in questo modo. Eppure tutte le evidenze portano in un’unica direzione: una clamorosa leggerezza nel proteggere i propri segretissimi dati. Che oggi sono noti al mondo intero.
