Quando gli hacker violano la password proviamo a creare sistemi di autenticazione più robusti. Ma se rubano le immagini delle impronte digitali – quelle forme di autenticazione “biometrica” che sono univoche e inimitabili – che cosa possiamo inventarci per rendere sicuri gli accessi ai database? Non è una domanda oziosa: l’ultimo cyber-attacco che ha colpito l’Office of Personnel Management (OPM) degli Stati Uniti ha comportato proprio il furto di impronte. L’agenzia è una sorta di dipartimento di risorse umane per l’intero governo federale; in estate aveva rivelato di aver subito un massiccio attacco hacker con “compromissione” di 1,1 milioni di immagini di impronte digitali, ma ora ha ricalcolato l’entità del danno: le impronte rubate sono 5,6 milioni.
DATI CHE “SCOTTANO”
L’OPM non ha rilasciato molti dettagli alla stampa Usa – per esempio non ha chiarito di chi siano esattamente le impronte rubate – ma ha fatto sapere che sta analizzando l’accaduto insieme al Dipartimento della Difesa. L’attacco hacker ha potenzialmente esposto non solo le impronte digitali ma anche i dati personali (codici fiscali, carte di credito, dati medici e così via) di 21,5 milioni di dipendenti federali e loro familiari.
L’OPM ha cercato di rassicurare il pubblico spiegando che la “capacità di usare le impronte digitali rubate è limitata”. Tuttavia, la probabilità che i cyber-criminali riescano a farne un utilizzo “potrebbe aumentare nel tempo” e una task force di esperti dell’Fbi, Dipartimento della Difesa, Sicurezza nazionale e altri membri dell’intelligence Usa sta lavorando per capire come reagire a un eventuale riutilizzo delle impronte rubate da parte dei criminali.
Inoltre, l’enorme quantità di informazioni sottratte potrebbe essere usata per identificare agenti sotto copertura, personale della difesa e consulenti del governo, oppure per ricattare le persone cui si riferiscono, visto che i dati includono informazioni di varia natura sui dipendenti e loro familiari e amici, per esempio se hanno subito condanne o una bancarotta, assunto farmaci, tradito il coniuge e così via.
USA SOTTO ATTACCO
Il grave “incidente” delle impronte digitali rubate rappresenta solo l’ultima sconcertante ammissione da parte dell’OPM che ha portato alle dimissioni del direttore dell’agenzia Katherine Archuleta a luglio.
L’OPM infatti ha rivelato solo a giugno di essere stata vittima un anno prima di hacker che avevano sottratto, diceva allora l’agenzia, dati di circa 4 milioni di dipendenti federali. A luglio però l’OPM ha specificato che l’attacco hacker aveva compromesso anche un database contenente dati sensibili relativi alle inchieste interne che l’OPM conduce prima di concedere al personale federale – dipendenti o consulenti o candidati a diventare tali – l’autorizzazione ad accedere a strutture e informazioni sensibili. Quello era il database con i dati di 21,5 milioni di persone: lavoratori federali (compresi spie e militari) e loro amici e familiari sentiti dall’agenzia. A quel punto la testa della Archuleta è saltata. Solo dopo si è saputo delle impronte digitali rubate, prima 1,1 milioni e ora, a quanto pare, cinque volte più numerose.
“Il popolo americano ha ogni motivo di credere che l’OMP non ci abbia ancora raccontato tutto e che Washington ci ritenga troppo stupidi per preoccuparci di cyber-security,” ha scritto in una nota il senatore repubblicano Ben Sasse. Ma sono numerosi i parlamentari e i senatori, sia Democratici che Repubblicani, che criticano l’agenzia per il modo in cui ha gestito l’incidente: non solo non ha saputo proteggersi dagli hacker, ma continua a fornire dati diversi (e sempre più pesanti) sull’entità del danno.
IL “GRANDE DATABASE CINESE”
C’è di più. Le agenzie federali che indagano sull’attacco hanno dichiarato ai media Usa – ma non pubblicamente – che la massiccia cyber-operazione criminale ha probabilmente avuto origine in Cina ed è sponsorizzata dal governo di Pechino.
L’affermazione pesa il doppio perché è arrivata mentre il presidente cinese Xi Jinping visita gli Stati Uniti e dichiarava pubblicamente a Seattle che il governo cinese condanna gli attacchi hacker contro gli Usa e si impegna a collaborare con gli Stati Uniti nella lotta al cyber-crime.
Se il governo cinese è veramente responsabile dell’attacco non è chiaro come potrebbe usare i dati dei dipendenti federali, ma gli esperti americani temono che ci siano ripercussioni per gli agenti che lavorano sotto copertura all’estero e le cui impronte sono state rubate. L‘ipotesi degli investigatori Usa è che la Cina stia costruendo un enorme database di informazioni sui funzionari – dipendenti o consulenti – del governo americano che poi la Cina individuerebbe molto facilmente se entrano nel paese asiatico per questioni di affari o di spionaggio. Le impronte digitali sono un elemento chiave di questa presunta strategia cinese: il numero di social security o le password si possono cambiare, le impronte digitali no e la persona cui si riferiscono è riconoscibile per sempre. I cinesi, prendendo le impronte di chi entra nel paese nei loro uffici immigrazione o dogane, saprebbero subito che un americano legato al governo federale è in Cina. “Immagino che adesso ci sono nostri agenti e funzionari che non possiamo più mandare in Cina”, ha detto un agente degli Stati Uniti.
L’ACCORDO IMPOSSIBILE
Ora Xi Jinping è a Washington per incontrare il Presidente Barack Obama. Da tempo la Casa Bianca ha assunto un atteggiamento duro nei confronti dei cyber-attacchi cinesi, spesso furti di segreti industriali che danneggiano le aziende americane. Ma l’atteso parziale disarmo cibernetico tra Usa e Cina non arriverà, dicono gli esperti, e anche per la stampa americana e britannica la cyber-security è uno dei temi su cui i due presidenti non troveranno l’intesa.
“Inutile aspettarsi molto”, ha dichiarato il direttore del National Security Council Dan Kritenbrink. “Un accordo per un disarmo cibernetico è molto lontano, anche se è l’obiettivo”. Anche riguardo alle sanzioni contro la Cina ipotizzate da Obama per i massicci attacchi hacker, la Casa Bianca ha fatto capire che ogni decisione è rimandata a dopo la visita di Xi.
Probabilmente quello che Obama e Xi otterranno sarà un limitato accordo su alcuni principi generali di controllo delle cyber-attività che cambierà poco nella sostanza e che potrebbe migliorare lievemente solo la questione dello spionaggio industriale ma non quella dei furti dei dati dei governi, dei militari e dell’intelligence. “Il vero problema non è intaccato”, dice David Fidler, adjunct senior fellow for cybersecurity presso il Council on Foreign Relations, secondo cui le capacità cinesi nello spionaggio cibernetico sono in costante espansione. Anche per Rob Knake, ex director for cybersecurity policy del National Security Council, la Cina è una super-potenza in fatto di cyber-spionaggio. Un accordo anche minimo però sarebbe un’importante ammissione da parte di Pechino di essere “attiva nella cyber-arena”. “Lo spionaggio cinese è gigantesco, attivo su tutti i fronti, gli Usa non hanno mai visto niente di simile. La Russia ha mezzi tecnici più sofisticati ma conduce attacchi mirati, sappiamo riconoscerli. La Cina è ingestibile”, dice Knake.
PROTEGGERE GLI AMERICANI
Intanto gli americani si indignano per la quantità di dati personali esposti dall’attacco all’OPM. Il Senatore Mark Warner, Democratico della Virginia, ha chiesto al governo di fornire una “assicurazione per proteggere l’identità” che duri tutta la vita per i dipendenti e consulenti federali colpiti dal furto di dati. Questo servirebbe a garantirli nel caso in cui le informazioni rubate portassero a un danno pecuniario, per esempio dati rubati delle carte di credito usati per fare acquisti e svuotare conti.
L’OPM aveva già pensato a una forma di tutela: a luglio, dopo la compromissione del database con i dati di 21,5 milioni di persone, ha assegnato un contratto da 133 milioni di dollari a un’azienda privata americana, la Identity Theft Guard Solutions, per controllare la situazione finanziaria delle “vittime” e verificare che sui loro conti non si svolgano attività sospette.
Tuttavia alcuni esperti sostengono che l’OPM sta pagando un sacco di soldi per un lavoro inutile, perché non riuscirà a evitare che i ladri di identità facciano uso di nomi, dati delle carte di credito e altre informazioni delle vittime dell’attacco hacker. In più in una recente testimonianza al Parlamento americano, il direttore della National Security Agency, Michael S. Rogers, ha indicato che non ci sono prove che i dati rubati all’OPM nell’ultimo anno siano stati usati a scopi finanziari. Nessuno, insomma, ha subito furti. Si tratta di una pura operazione di spionaggio tra governi e sarà difficile per Washington capire come tutelarsi.
