La vicenda, almeno nel suo finale, è nota, ma tanti ancora i punti oscuri. Documenti, sulla guerra in Ucraina, classificati top secret delle agenzie di intelligence statunitensi finiscono sui social e in diverse chat, dopo una rapida indagine viene arrestato Jack Texeira, 21enne aviere della Guardia nazionale del Massachusetts. Queste le sole certezze, perché con il passare dei giorni la vicenda solleva una serie di domande che ancora non trovano risposta.
Documenti rubati agli USA: arrestata la talpa, ma la vicenda è ancora tutta da chiarire
I punti oscuri della vicenda “Texeira”
Prima fra tutte come ci sia riuscito, ma non meno importanti sono le piccole stranezze che caratterizzano questa storia, per esempio i due documenti distinti prodotti dal centro operativo della CIA, resi pubblici in versione incompleta, ma soprattutto destinati solo ed esclusivamente al CIA stessa e non divulgabili al di fuori dell’agenzia, alla quale peraltro Texeira non apparteneva. Su questa base qualcuno adombra il sospetto che Texeira non abbia agito da solo. Tuttavia, non è questo di cui voglio occuparmi, ma piuttosto fare alcune considerazioni su altre “stranezze” che emergono in tema di sicurezza delle informazioni.
Il numero non deve fare la differenza
Tutti hanno sottolineato come il fattore umano sia determinante, ma lasciatemi dire l’intelligence è abituata da secoli a “talpe” e “gole profonde” ed è un problema insolubile, quindi nemmeno vale la pena discuterne. Molti osservatori, invece, hanno affermato che il vero problema con cui si deve confrontare l’intelligence statunitense è il milione di persone che hanno la possibilità di accedere a vari livelli a documenti classificati. Secondo pareri qualificati, un segreto non è più tale se lo conosce più di una persona, figuriamoci quando si entra nell’ordine delle decine o centinaia di migliaia.
Senza dubbio la quantità è un tema, ma nel mondo descritto, senza essere smentita da nessuno, da Shoshana Zuboff nel suo libro “Il capitalismo della sorveglianza” non può essere il vero problema. Come sappiamo tutti da utenti di social network e motori di ricerca la tecnologia dell’informazione consente oggi un livello di controllo capillare e permanente su qualsiasi individuo. In un mondo come quello militare o dei servizi, in cui le tutele della privacy individuale sono ridotte per definizione ai minimi termini, sembra singolare l’impossibilità di monitorare un milione di persone laddove ogni giorno se ne sorvegliano miliardi. A maggior ragione il fatto è grave perché Texeira fa un particolare tipo di mestiere
Il ruolo deve fare la differenza
Il nostro protagonista è qualificato come specialista IT. “Dentro i confini del computer, sei tu il creatore. Controlli – almeno potenzialmente – tutto ciò che vi succede. Se sei abbastanza bravo, puoi essere un dio. Su piccola scala”. Questa celebre frase di Linus Torvalds ci rammenta come ci siano particolari categorie di operatori che rispetto a un sistema informatico sono onnipotenti. Per quanto Texeira non abbiamo certo sviluppato i sistemi a cui aveva accesso, e probabile che avesse particolari privilegi su di essi, diciamo che si poteva configurare come un “semi-dio”.
Qualsiasi standard in materia di sicurezza, a partire dalla ISO 27001, segnala l’importanza di monitorare le attività degli utenti con privilegi amministrativi. Perfino la nostra Autorità Garante per la Protezione dei Dati, la più intransigente al mondo quando si parla di tutela dei dati delle persone, si è sentita in dovere molti anni orsono di emettere uno specifico provvedimento per assoggettare a un certo grado di controllo chi svolge questo tipo di attività. Per quanto abbiamo già scritto sopra, ci si dovrebbe attendere che ogni singolo clic di uno specialista IT con accesso a documenti classificati sia registrato e verificato. A maggior ragione negli Stati Uniti dove anche le aziende private possono mettere in atto controlli sui propri dipendenti che in Europa sarebbero considerati fuorilegge.
Le informazioni fanno sempre la differenza
Abbiamo visto come il sistema di controllo non abbia funzionato, ma non è certo l’unico problema dell’intelligence statunitense. I documenti sono apparsi per la prima volta all’interno di un gruppo Discord e da lì si sono rapidamente diffuse attraverso vari canali. Tutti questi sono considerate fonti aperte, soprattutto per le agenzie di intelligence. Non è chiaro quando Texeira abbia iniziato a pubblicare i documenti, alcune fonti affermano già da dicembre, ma di sicuro il 4 marzo ne ha postato uno, ma nessuno si è accorto di nulla. In questo senso da sempre gli analisti di intelligence statunitensi soffrono di una difficoltà culturale perché hanno la tendenza a prediligere le informazioni classificate a quelle provenienti dalle attività di OSINT (Open Source INTelligence).
Un problema storico, già emerso dai lavori della commissione d’inchiesta sull’11 settembre. Le indagini dimostrarono chiaramente che tutte le informazioni necessarie a prevenire l’attacco era disponibili su fonti pubbliche, ma nessuno riuscì a metterle in relazione tra loro.
La cosa apparve talmente grave che nel 2004, nell’ambito dell’Intelligence Reform and Terrorism Prevention Act (IRTPA), si propose la creazione di un’apposita agenzia dedicata alla raccolta e all’utilizzo dell’OSINT. Una sfida che anno dopo anno diventa sempre più complessa data la crescita inarrestabile dei dati che circolano in rete visto già da qualche anno, senza tanto rumore, siamo entrati nell’era dello zettabyte, espressione coniata da Cisco nel 2016 quando ha pubblicato il report «L’era zettabyte: tendenze e analisi», in cui rilevava che il traffico dati rilevato su Internet aveva superato per la prima volta il valore di uno Zettabyte ovvero 1021 byte.
